Si vous pensiez qu'tre victime d'un ransomware ou qu'un pirate informatique s'emparait de votre poste de travail tait un cauchemar, imaginez la catastrophe potentielle que reprsenterait le piratage de votre cluster Kubernetes (k8s). Il pourrait s'agir d'un dsastre amplifi un million de fois.Kubernetes a gagn une immense popularit auprs des entreprises ces dernires annes en raison de ses prouesses indniables en matire d'orchestration et de gestion des applications conteneurises. Il consolide votre code source, vos comptes cloud et vos secrets en un seul centre. Cependant, entre de mauvaises mains, l'accs au cluster k8s d'une entreprise pourrait tre non seulement nuisible, mais aussi potentiellement catastrophique.
Lors de leur enqute, Assaf Morag et Michael Katchinskiy d'Aqua Security ont dcouvert des clusters Kubernetes appartenant plus de 350 organisations, projets open-source et particuliers, ouvertement accessibles et en grande partie non protgs. Au moins 60 % d'entre eux ont t viols et ont fait l'objet d'une campagne active de dploiement de logiciels malveillants et de portes drobes.
La plupart de ces groupes taient lis des organisations de petite ou moyenne taille, avec un sous-ensemble notable li de vastes conglomrats, certains d'entre eux faisant mme partie du classement Fortune 500. Les organisations identifies sont issues de divers secteurs, tels que la finance, l'arospatiale, l'automobile, l'industrie, la scurit, etc.
Parmi les lments qu'ils ont dcouverts, ils ont relev deux principales erreurs de configuration. La plus courante, qui a t largement couverte par le pass, mais qui reste un problme proccupant, consiste autoriser l'accs anonyme avec des privilges. Le second problme qui est sorti du lot est l'excution du proxy `kubectl` avec certains arguments qui conduisent exposer sans le savoir le cluster l'internet. Pour une comprhension plus complte de ces mauvaises configurations, voici un extrait de leur recherche et de leur dcouverte.
Trouver les clusters k8s exposs
Les attaquants utilisent souvent des moteurs de recherche tels que Shodan, Censys et Zoomeye pour trouver des htes mal configurs ou vulnrables. Ils recherchent galement sur Internet des htes exposs l'aide de botnets ou d'outils tels que masscan et Zgrab pour scanner rapidement de larges plages d'adresses IP et identifier les services sur les ports exposs.
Bien que ce nombre initial (environ 3 millions) soit norme, il ne reflte pas le nombre de clusters risque, c'est pourquoi les requtes de recherche ont t modifier pour rechercher spcifiquement les serveurs API qui peuvent tre exploits par les attaquants.
Sur une priode de trois mois, ils effectu plusieurs recherches distinctes l'aide de Shodan. Lors de leur premire recherche, ils ont identifi 120 adresses IP. Chaque recherche ultrieure (hebdomadaire) a rvl environ 20 nouvelles adresses IP. Au total, pendant toute la dure de cette recherche, ils ont identifi un peu plus de 350 adresses IP distinctes.
Conclusions gnrales
En analysant les plus de 350 htes nouvellement dcouverts, ils ont constat que la majorit d'entre eux (72 %) avaient les ports 443 et 6443 exposs. Il s'agit des ports HTTPS par dfaut. Ils ont constat que 19 % des htes utilisaient des ports HTTP tels que 8001 et 8080, tandis que les autres utilisaient des ports moins courants (par exemple 9999).
La rpartition des htes a rvl que si la plupart (85 %) avaient entre 1 et 3 nuds, certains hbergeaient entre 20 et 30 nuds au sein de leurs clusters Kubernetes. Le nombre de nuds plus lev pourrait indiquer des organisations plus grandes ou des clusters plus importants.
En ce qui concerne la rpartition gographique, la majorit des serveurs taient golocaliss en Amrique du Nord, avec une empreinte importante d'AWS (environ 80 %). En revanche, divers fournisseurs de cloud chinois reprsentaient environ 17 % des serveurs.
Le serveur API est utilis pour accder aux secrets de Kubernetes, de sorte qu'un accs ouvert permet un attaquant de prendre le contrle total du cluster. Toutefois, les clusters Kubernetes ne se contentent gnralement pas de stocker leurs propres secrets. Dans de nombreux cas, le cluster Kubernetes fait partie du cycle de vie du dveloppement logiciel (SDLC) de l'organisation, et doit donc avoir accs la gestion du code source (SCM), l'intgration continue/au dploiement continu (CI/CD), aux registres et au fournisseur de services Cloud (Cloud Service Provider).
Dans les secrets Kubernetes, il y avait un large ventail de secrets supplmentaires associs divers environnements. Il s'agit notamment d'environnements SCM tels que GitHub, de plateformes CI telles que Jenkins, de divers registres tels que Docker Hub, de services de base de donnes externes tels que Redis ou PostgreSQL, et bien d'autres encore.
En analysant l'identit des propritaires de clusters, ils ont dcouvert qu'ils allaient des entreprises Fortune 500 aux petites, moyennes et grandes entreprises. Il est intressant de noter que dans leurs recherches, ils ont galement rencontr des projets open-source qui, s'ils sont compromis, pourraient dclencher un vecteur d'infection de la chane d'approvisionnement avec des implications pour des millions d'utilisateurs.
Et vous ?
Pensez-vous que cette tude est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
