Clústeres de Kubernetes bajo ataque en cientos de organizaciones
La mayoría de los clústeres estaban vinculados a empresas pequeñas y medianas, pero un subconjunto notable estaba conectado a grandes corporaciones del Fortune 500.
Se han detectado clústeres de Kubernetes de más de 350 organizaciones, proyectos de código abierto y personas desprotegidos. Más de la mitad de ellos han sido atacados con una campaña activa de implementación de puertas traseras. Así lo pone de manifiesto un informe de Aqua Security. La mayoría de los clústeres estaban vinculados a empresas pequeñas y medianas, pero un subconjunto notable estaba conectado a grandes corporaciones del Fortune 500. Las exposiciones fueron el resultado de dos configuraciones incorrectas, una que permite el acceso anónimo con privilegios y otra que expone los clústeres a Internet.
Kubernetes es un sistema de orquestación de código abierto que se basa en contenedores para automatizar la implementación, el escalado y la administración de aplicaciones, generalmente en un entorno de nube. Con el tiempo, se ha convertido en el sistema operativo de facto en cloud, pero también puede plantear importantes riesgos y desafíos de seguridad para las empresas. De hecho, un estudio de Red Hat dice que para el 38% de los líderes de TI la seguridad es la principal preocupación con respecto a las estrategias de contenedores y Kubernetes. Además, el 67% retrasó la implementación debido a problemas con la protección y el 37% experimentó pérdidas de ingresos o clientes derivadas de un incidente.
Más de 350 servidores API que los atacantes podrían explotar
Durante un período de tres meses, los investigadores identificaron más de 350 servidores API que podrían ser explotados por atacantes. Tras analizar los hosts recién descubiertos, el 72% tenía los puertos 443 y 6443 expuestos; y el 19% usaban puertos HTTP como 8001 y 8080, mientras que el resto usaba otros menos comunes.
“La distribución de hosts reveló que, si bien el 85% tenía entre uno y tres nodos, algunos albergaban entre 20 y 30 dentro de sus clústeres de Kubernetes. El mayor número podría ser indicativo de empresas más grandes o clústeres más importantes”, revela la investigación. En cuanto a la distribución geográfica, la mayoría de los servidores tenían afiliación de geolocalización a América del Norte, con una huella sustancial de AWS. Por el contrario, los proveedores de nube chinos representaron alrededor del 17% de los servidores.
Clústeres de Kubernetes bajo ataque activo de criptomineros
Los investigadores encontraron que aproximadamente el 60% de los grupos estaban siendo atacados activamente por criptomineros. El equipo creó un entorno trampa para recopilar más datos sobre estos ataques para arrojar luz sobre las campañas en curso. Entre los hallazgos clave, se descubrió la campaña Silentbob, novedosa y altamente agresiva. También una campaña de destrucción de control de acceso basado en roles para crear una puerta trasera oculta, así como campañas de criptominería, incluida una ejecución más extensa de la Campaña Dero descubierta anteriormente con imágenes de contenedores adicionales que acumularon cientos de miles de extracciones.
Dos errores de configuración comunes explotados
La investigación también sacó a la luz dos configuraciones erróneas comunes, ampliamente realizadas por organizaciones y explotadas activamente. El primero otorga acceso anónimo con privilegios por los que un usuario no autenticado solo pasa por una fase de autorización.
Al mezclar esto anterior, se crea una mala configuración grave: “Hemos visto casos en los que los profesionales vinculan el rol de usuario anónimo con otros roles, a menudo de administrador, lo que pone en peligro sus grupos”. Una combinación de estas configuraciones incorrectas puede permitir que los atacantes obtengan acceso no autorizado al clúster de Kubernetes, lo que podría comprometer todas las aplicaciones que se ejecutan en él, así como otros entornos.
El segundo problema es una mala configuración del proxy `kubectl` con banderas que, sin saberlo, exponen el clúster de Kubernetes a Internet, dijeron los investigadores. Los anfitriones afectados incluyeron organizaciones en una variedad de sectores, como servicios financieros, aeroespacial, automotriz, industrial y de seguridad.
El acceso no autorizado a los clústeres de Kubernetes podría ser el "fin del negocio"
En las manos equivocadas, el acceso a los clústeres de Kubernetes de una empresa podría acabar con el negocio", dijo Assaf Morag, analista principal de inteligencia de amenazas de Aqua Nautilus. "El código propietario, la propiedad intelectual, los datos de los clientes, los registros financieros, las credenciales de acceso y las claves de cifrado se encuentran entre los muchos activos sensibles en riesgo".
Debido a que Kubernetes ha ganado una inmensa popularidad entre las empresas en los últimos años debido a su innegable destreza en la orquestación y administración de aplicaciones en contenedores, las organizaciones confían información y tokens altamente confidenciales en sus clústeres, agregó Morag. "Claramente, existe una brecha en el conocimiento y la gestión de la seguridad de Kubernetes. Estos hallazgos subrayan el gran daño que puede resultar si las vulnerabilidades no se abordan adecuadamente".
