作者 | Jeff Burt

　　譯者 | 仇凱

　　整理 | Noe

在云原生時(shí)代，越來越多的企業(yè)意識到容器將成為IT架構(gòu)中關(guān)鍵的基礎(chǔ)設(shè)施平臺(tái)，紛紛轉(zhuǎn)向Kubernetes，通過其容器編排及管理能力，輕松維護(hù)生產(chǎn)、開發(fā)和測試環(huán)境。但近日有研究人員發(fā)現(xiàn)，大量Kubernetes API服務(wù)器存在安全風(fēng)險(xiǎn)。

非營利性安全組織Shadowserver Foundation最近掃描了454729個(gè)Kubernetes API實(shí)例。通過掃描端口6443和443上的所有IPv4空間，尋找響應(yīng)“HTTP 200 OK 狀態(tài)”（這表明請求成功）的IP地址，結(jié)果發(fā)現(xiàn)其中有381645個(gè)響應(yīng)為 "200 OK"，占總體的84%。

掃描結(jié)果并不意味著這些服務(wù)器完全開放，它更多地意味著這些服務(wù)器有可能成為易受威脅的攻擊目標(biāo)，為攻擊者提供入侵企業(yè)網(wǎng)絡(luò)的可行途徑。

“雖然這并不意味著這些實(shí)例是完全開放或存在可被攻擊的漏洞，這種級別的訪問方式似乎并非有意造成的，但是這些實(shí)例是非必要的攻擊暴露面，”Shadowserver的團(tuán)隊(duì)在一篇文章中強(qiáng)調(diào)，“這還導(dǎo)致了包含軟件版本和構(gòu)建方式等信息的泄漏。”

數(shù)據(jù)安全公司Comforte AG的市場主管Erfan Shadabi表示，盡管這些信息看似無關(guān)緊要，但是企業(yè)不應(yīng)低估這些Kubernetes API服務(wù)器在互聯(lián)網(wǎng)暴露所帶來的風(fēng)險(xiǎn)。

Shadabi提到：“Kubernetes的發(fā)展勢不可擋，它為企業(yè)應(yīng)用程序的敏捷交付創(chuàng)造了巨大收益，但它的工作特性使其成為了理想的攻擊目標(biāo)。例如，由于管理和運(yùn)行許多容器，Kubernetes就形成了很大的攻擊面，如果事先未進(jìn)行充分評估并建立有效的防護(hù)措施，這些攻擊面就非常容易遭受攻擊。因此，Shadowserver Foundation的掃描發(fā)現(xiàn)了如此多的漏洞也就不足為奇了。”

更令人擔(dān)憂的是，Kubernetes內(nèi)置的數(shù)據(jù)安全功能只達(dá)到了安全要求的最低標(biāo)準(zhǔn)，只能保護(hù)靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)，“沒有使用類似字段級標(biāo)記化的行業(yè)通用技術(shù)來對數(shù)據(jù)本身進(jìn)行持久保護(hù)”。

“如果一個(gè)生態(tài)系統(tǒng)受到威脅，那么與之相關(guān)的敏感數(shù)據(jù)受到無法抵擋的潛在攻擊只是時(shí)間問題。在生產(chǎn)環(huán)境中使用容器和Kubernetes的企業(yè)必須謹(jǐn)慎對待Kubernetes的安全性問題。”

Kubernetes目前是本地環(huán)境和公有云環(huán)境中最受歡迎的容器管理工具，Red Hat(OpenShift)、VMware(Tanzu)和SUSE(Rancher)等供應(yīng)商都有商業(yè)版本的Kubernetes系統(tǒng)可供選擇。根據(jù)市場研究公司Statista的數(shù)據(jù)，截至2021年，全球近50%的企業(yè)已經(jīng)直接或間接地使用了Kubernetes。因此其潛在的安全風(fēng)險(xiǎn)更加不容忽視。

近年來，我們發(fā)現(xiàn)開源系統(tǒng)逐漸受到更多攻擊者的青睞。在云計(jì)算時(shí)代，圍繞Linux的攻擊面在逐漸擴(kuò)大。

網(wǎng)絡(luò)安全供應(yīng)商趨勢科技在去年的一份報(bào)告中指出，其Cloud One產(chǎn)品保護(hù)的云工作負(fù)載中，Linux系統(tǒng)占61%，Windows系統(tǒng)占39%。網(wǎng)絡(luò)威脅的范圍從勒索軟件和木馬延伸到挖礦軟件和Webshell。

“鑒于Linux深深植根于日常工作，尤其是作為云基礎(chǔ)設(shè)施和物聯(lián)網(wǎng)(IoT)不可或缺的一部分，Linux和Linux工作負(fù)載的安全性必須與Windows和其他操作系統(tǒng)同等對待。”趨勢科技的研究人員寫道。

去年年底，當(dāng)被廣泛使用的Apache Log4j日志工具中的漏洞被披露時(shí)，開源系統(tǒng)面臨的風(fēng)險(xiǎn)和威脅就被凸顯出來了。這些缺陷很容易被利用，而且Log4j的使用非常廣泛，以至于許多企業(yè)很難在其IT環(huán)境中找到所有包含Log4j的實(shí)例來修復(fù)它們。攻擊者反應(yīng)非常快速，利用這個(gè)被稱為Log4Shell的缺陷進(jìn)行大范圍的攻擊，并持續(xù)將它們用作系統(tǒng)的攻擊錨點(diǎn)。

這在上周的一份報(bào)告中得到了證明，該報(bào)告發(fā)現(xiàn)與俄羅斯有關(guān)的Wizard Spider是Conti和Ryuk等勒索軟件背后的威脅組織，它在某些利用Log4Shell開展的活動(dòng)中有廣泛的影響力。

Shadowserver建議企業(yè)對Kubernetes API服務(wù)器實(shí)施訪問授權(quán)或在防火墻中配置阻斷策略以阻止未授權(quán)訪問，進(jìn)而減少攻擊面。

譯者介紹

　　仇凱，51CTO社區(qū)編輯，目前就職于北京宅急送快運(yùn)股份有限公司，職位為信息安全工程師。主要負(fù)責(zé)公司信息安全規(guī)劃和建設(shè)（等保，ISO27001），日常主要工作內(nèi)容為安全方案制定和落地、內(nèi)部安全審計(jì)和風(fēng)險(xiǎn)評估以及管理。

　　原文標(biāo)題：381,000-plus Kubernetes API servers 'exposed to internet'，

　　鏈接：https://www.theregister.com/2022/05/23/kubernetes-vulnerable-shadowserver/