تحلیلگران شرکت امنیت سایبری اینتزر دریافته اند که مجرمان سایبری اکنون به دنبال یک بردار حمله جدید علیه خوشه های Kubernetes از طریق تنظیمات نامناسب Argo Workflows هستند.
محققان امنیتی Intezer ، رایان رابینسون و نیکول فیش بیین گزارشی با جزئیات حمله نوشتند و خاطرنشان کردند که آنها قبلاً گره های آلوده را پیدا کرده اند. این دو نفر گفتند که این حملات نگران کننده است زیرا صدها استقرار با پیکربندی اشتباه انجام شده است و مهاجمان شناسایی شده اند که ماینرهای رمزنگاری مانند Kannix / Monero-miner را از طریق این بردار حمله رها می کنند.
"ما موارد آشکاری از گردش کار Argo را که متعلق به شرکت های بخشهای مختلف از جمله فناوری ، امور مالی و تدارکات است ، شناسایی کرده ایم. Argo Workflows یک موتور گردش کار منبع باز و کانتینر است که برای کار روی خوشه های K8s طراحی شده است. نمونه های Argo Workflows با مجوزهای پیکربندی اشتباه اجازه می دهد تا بازیگران را تهدید می کنند که کد غیر مجاز را در محیط قربانی اجرا می کنند "، رابینسون و فیش بین گفتند.
"نمونه های افشا شده می توانند حاوی اطلاعات حساس مانند کد ، شناسنامه و نام تصویر ظرف خصوصی باشند. ما همچنین کشف کردیم که در بسیاری از موارد ، مجوزها پیکربندی شده اند ، که به هر کاربر بازدید کننده اجازه می دهد تا گردش کار خود را مستقر کند. همچنین متوجه شدیم که عوامل تهدید برخی از گره های تنظیم نشده را هدف قرار می دهند "
برخی از مهاجمان سایبری توانسته اند از مجوزهای نادرست پیکربندی شده استفاده کنند که به آنها امکان دسترسی به داشبورد باز Argo را می دهد و در آنجا می توانند گردش کار خود را ارائه دهند.
طبق گفته محققان "Kannix / Monero-miner" برای استفاده از مهارت کمی لازم است و در این گزارش اشاره شده است که سایر تیم های امنیتی حملات استخراج ارز رمزنگاری شده در مقیاس گسترده را علیه خوشه های Kubernetes کشف کرده اند.
در این مطالعه آمده است: "در Docker Hub ، هنوز تعدادی گزینه برای استخراج Monero وجود دارد که مهاجمان می توانند از آنها استفاده کنند. با یک جستجوی ساده ، حداقل 45 کانتینر دیگر با میلیون ها بارگیری وجود دارد."
با IBM Cloud بیشتر کسب کنید - اکنون امتحان کنید!
با استفاده از حساب IBM Cloud رایگان خود ، می توانید 40+ محصول همیشه رایگان را امتحان کنید تعمیرات گوشی آیفون ، اعتبار 200 دلار اعتبار دریافت کرده و آزمایشات و تخفیف ها را طولانی کنید. ردیف رایگان ما را کاوش کنید و امروز حساب خود را ایجاد کنید.
بارگیری های ارائه شده توسط IBM
فیش بیین و رابینسون از کاربران می خواهند که از یک مرورگر ناشناس غیرمجاز در خارج از محیط های سازمانی به داشبورد Argo Workflows دسترسی پیدا کنند تا راهی برای بررسی عدم پیکربندی نمونه ها باشد.
سرپرستان همچنین می توانند API یک نمونه را جستجو کرده و کد وضعیت را بررسی کنند.
حتما بخوانید
کوبرنتس چیست؟ نحوه تعریف مجدد ارکستراسیون از مرکز داده
کوبرنتس چیست؟ نحوه تعریف مجدد ارکستراسیون از مرکز داده
در مدت زمان کمی بیش از چهار سال ، پروژه حاصل از تلاش مدیریت داخلی کانتینر گوگل باعث شده است که بهترین برنامه های VMware ، Microsoft ، Oracle و سایر پادشاهان مرکز داده به پایان برسد.
ادامه مطلب
Yaniv Bar-Dayan ، مدیر عامل شرکت Vulcan Cyber ، توضیح داد که پیچیدگی و مقیاس ذاتی استقرار ابرهای سازمانی به این معنی است که نقض هایی به دلیل خطاهای انسانی رخ خواهد داد.
"پیکربندی نادرست فقط یک نوع آسیب پذیری ناشی از خطر است و ابر فقط یک بردار حمله است که باید مورد پیگیری و کاهش قرار گیرد. اگر تیم های امنیتی بتوانند ریسک ایجاد شده توسط تنظیمات نادرست ابر را همراه با آسیب پذیری های زیرساخت های فناوری اطلاعات و برنامه درک کنند و اولویت بندی کنند ، در کاهش خطر و بهبود وضعیت امنیتی کسب و کار ، "بار دیان افزود.
وی افزود: "امنیت ابر دیگر نمی تواند مشکل شخص دیگری باشد و فقط پرسیدن اینکه آیا زیرساخت ابر به خودی خود ایمن است کافی نیست. ما باید همین مورد را در مورد برنامه های خود ، زیرساخت های سنتی و شبکه ها بپرسیم."
Andrew Barratt مدیر عامل Coalfire خاطرنشان کرد که سیستم عامل های ارکستراسیون به دلیل توانایی اجرا ، یک سطح حمله جالب هستند.
بارات گفت که آنها می توانند به یک دشمن اجازه دهند حملات جانبی بسیار پیچیده ای انجام دهد و به طور کامل از مقیاس خدمات ابری بومی استفاده کند. اگرچه مخالف استفاده از آنها نیست ، اما او گفت که اکنون برای آنها مهم است که به عنوان یک سکوی پیشرفته حمله با قابلیت های بسیار و دارای امتیازات معمولاً بالاتر و توانایی ساخت و استقرار منابع با هزینه فوری مرتبط دیده شوند.
مایکل کید گفت: "این آسیب پذیری ها مدت طولانی است که وجود دارد و تیم های امنیتی در حال حاضر تا حدی از آنها آگاه هستند ، بدون توجه به سیستم عامل - اعم از مجازی سازی ، مراکز داده های فیزیکی یا ابر عمومی و ارائه خدمات مختلف." ، یک تکنسین ارشد جهانی با کاستن.
"این تنها آسیب پذیری نیست که در محیط های Kubernetes یا سیستم عامل های گسترده تر مشاهده می شود."