Um ataque cibernético direcionado ao Kubeflow, popular kit de ferramentas para executar tarefas de aprendizado de máquina no Kubernetes (sistema de orquestração de contêineres open source), afetou milhares de clusters de contêineres, com intuito de instalar malware de mineração de criptomoeda, de acordo com a Microsoft.
O Kubeflow é um projeto de código aberto, iniciado como um projeto para executar tarefas do TensorFlow no Kubernetes. O TensorFlow é uma biblioteca de código aberto para aprendizado de máquina aplicável a uma ampla variedade de tarefas no Kubernetes. Os nós usados para tarefas de aprendizado de máquina geralmente são poderosos e, em alguns casos, incluem unidades de processamento gráfico (GPUs). Esse fato torna os clusters Kubernetes, usados para tarefas de aprendizado de máquina, um alvo perfeito para campanhas de mineração de criptografia, que foi o objetivo desse ataque.
Em abril, a equipe da Central de Segurança do Azure, da Microsoft, detectou uma imagem suspeita executando um minerador em milhares de clusters, implantado a partir de um único repositório público. Uma inspeção mais detalhada mostrou que a imagem executa um malware comum de código aberto de mineração de criptografia que explora a moeda virtual Monero, conhecida como XMRIG.
Embora Kubernetes já tenham sido alvos de várias operações de mineração de criptografia, esta é a primeira vez que o Kubeflow é apontado como o vetor de ataque, de acordo com a Microsoft.
Veja isso
Alerta: Kubernetes têm vulnerabilidade nota 9.8
Vulnerabilidades de software de código aberto sobem 130% em 2019
O engenheiro de software de pesquisa de segurança da Central de Segurança do Azure, Yossi Weizman, acredita que a tentativa de um administrador de tornar a configuração mais conveniente pode ter exposto o painel à internet, abrindo caminho ao invasor para o ataque. Nesse caso específico, o painel foi exposto pelo gateway de entrada Istio, que por padrão é acessível apenas internamente à internet, observou ele.
Weizman explicou que, no entanto, os usuários podem ter involuntariamente tornado a configuração menos segura, ajustando essas configurações. “Em alguns casos, os usuários modificam a configuração do Istio Service para o Load-Balancer, que expõe o serviço à internet. Acreditamos que alguns usuários optaram por fazê-lo por conveniência: sem essa ação, o acesso ao painel requer um tunelamento através do servidor da API Kubernetes e não é direto “, disse ele.
“Ao expor o serviço à internet, os usuários podem acessar diretamente o painel. No entanto, essa operação permite acesso inseguro ao painel Kubeflow, que permite a qualquer pessoa executar operações no Kubeflow, incluindo a implantação de novos contêineres no cluster”, explica Weizman. Isso provavelmente permitiu que os invasores implantassem um contêiner de backdoor no cluster, acrescentou. Com agências de notícias e sites internacionais e informações da Microsoft.
