研究人員發(fā)現(xiàn)，有超過38萬個Kubernetes API服務(wù)器允許對公共互聯(lián)網(wǎng)進(jìn)行訪問，這就使得這個用于管理云部署的流行開源容器成為了威脅者的一個攻擊目標(biāo)和廣泛的攻擊面。

根據(jù)本周發(fā)表的一篇博文，Shadowserver基金會在掃描互聯(lián)網(wǎng)上的Kubernetes API服務(wù)器時發(fā)現(xiàn)了這個問題，受影響的服務(wù)器已經(jīng)超過了45萬個。

根據(jù)該帖子，ShadowServer每天會對IPv4空間的443和6443端口進(jìn)行掃描，尋找響應(yīng)'HTTP 200 OK狀態(tài)'的IP地址，這表明該請求已經(jīng)成功。

研究人員說，在Shadowserver發(fā)現(xiàn)的超過45萬個Kubernetes API實(shí)例中，有381645個響應(yīng)為 "200 OK"。 總的來說，Shadowserver發(fā)現(xiàn)了454,729個Kubernetes API服務(wù)器。因此，開放的API實(shí)例占Shadowserver掃描的所有實(shí)例的近84%。

此外，根據(jù)該帖子，大部分可訪問的Kubernetes服務(wù)器有201348個，有將近53%是在美國被發(fā)現(xiàn)的。

根據(jù)該帖子，雖然這種掃描結(jié)果并不意味著這些服務(wù)器完全開放或容易受到攻擊，但它確實(shí)有這樣一種情況，這些服務(wù)器都有一個"不必要的暴露的攻擊面" 。

研究人員指出，這種訪問很可能是無意的。他們補(bǔ)充說，這種暴露還可能會出現(xiàn)各種版本和構(gòu)建信息發(fā)生泄漏。

云設(shè)施一直在處于攻擊之中

鑒于攻擊者目前已經(jīng)越來越多地對Kubernetes云集群進(jìn)行攻擊，并利用它們對云服務(wù)發(fā)起其他攻擊，這些發(fā)現(xiàn)令人非常不安。事實(shí)上，云服務(wù)設(shè)施曾經(jīng)就出現(xiàn)過由于錯誤的配置，從而產(chǎn)生了各種損失，當(dāng)然，Kubernetes也毫不例外。

事實(shí)上，數(shù)據(jù)安全公司comforte AG的網(wǎng)絡(luò)安全專家在給媒體的一封電子郵件中說，他對Shadowserver掃描發(fā)現(xiàn)這么多暴露在公共互聯(lián)網(wǎng)上的Kubernetes服務(wù)器并不驚訝。

他說，Kubernetes為企業(yè)的敏捷應(yīng)用交付提供了很高的便捷性，有很多特點(diǎn)會使它成為理想的被攻擊利用的目標(biāo)。例如，由于應(yīng)用內(nèi)部會運(yùn)行許多容器，所以Kubernetes會有一個很大的攻擊面，如果不能保證安全，那么就會被攻擊者利用。

開源設(shè)施的安全性

這些問題的出現(xiàn)還引出了一個長期存在的問題，即如何確保開源系統(tǒng)的安全性，這些系統(tǒng)作為現(xiàn)代互聯(lián)網(wǎng)和云基礎(chǔ)設(shè)施的一部分，開始變得無處不在，這也就使得針對它們的攻擊變成了針對其所連接的所有系統(tǒng)的攻擊。

這個問題在去年12月出現(xiàn)的無處不在的Java日志庫Apache Log4j中的Log4Shell漏洞的案例中就已經(jīng)被人們注意到。

這個漏洞很容易被利用，它允許攻擊者未經(jīng)授權(quán)的進(jìn)行遠(yuǎn)程代碼執(zhí)行(RCE)攻擊以及完全接管服務(wù)器。事實(shí)上，最近的一份報告發(fā)現(xiàn)，盡管Log4Shell發(fā)布了補(bǔ)丁，但數(shù)以百萬計的Java應(yīng)用程序仍然存在大量的漏洞。

Shadabi說，Kubernetes的一個致命弱點(diǎn)是，該平臺內(nèi)置的數(shù)據(jù)安全功能只是在最低限度的保護(hù)靜態(tài)數(shù)據(jù)。在云環(huán)境中，這是一個非常危險的情況。

并且，沒有對數(shù)據(jù)本身進(jìn)行持續(xù)的保護(hù)，例如并未使用一些行業(yè)公認(rèn)的技術(shù)，如字段級的標(biāo)記化。因此，如果一個生態(tài)系統(tǒng)被破壞，它所處理的敏感數(shù)據(jù)遲早會受到更隱蔽的攻擊。

Shadabi對于那些在生產(chǎn)環(huán)境中使用容器和Kubernetes的組織的建議是，要像對待IT基礎(chǔ)設(shè)施一樣認(rèn)真全面的對待Kubernetes的安全。

Shadowserver方面建議，如果管理員發(fā)現(xiàn)他們環(huán)境中的Kubernetes實(shí)例可以訪問互聯(lián)網(wǎng)，他們應(yīng)該考慮采取訪問授權(quán)或在防火墻層面進(jìn)行阻斷，減少暴露的攻擊面。

本文翻譯自：https://threatpost.com/380k-kubernetes-api-servers-exposed-to-public-internet/179679/如若轉(zhuǎn)載，請注明原文地址。