Les clusters Kubernetes font face à des cyberattaques via les workflows Argo

0

Les clusters Kubernetes sont attaqués via des instances Argo Workflows mal configurées, avertissent les chercheurs en sécurité.

Argo Workflows est un moteur de workflow natif open source pour l’orchestration des tâches parallèles sur Kubernetes, afin d’accélérer le temps de traitement des tâches à forte intensité de calcul telles que l’apprentissage automatique et le traitement des données volumineuses. Il est également utilisé pour simplifier les déploiements de conteneurs en général. Kubernetes, quant à lui, est un moteur d’orchestration de conteneurs populaire pour la gestion des déploiements cloud.

Les opérateurs de logiciels malveillants déposent des crypto-mineurs dans le cloud via Argo grâce à certaines instances étant publiquement disponibles via des tableaux de bord qui ne nécessitent pas d’authentification pour les utilisateurs extérieurs, selon une analyse d’Intezer. Ces autorisations mal configurées peuvent donc permettre aux acteurs malveillants d’exécuter du code non autorisé dans l’environnement de la victime.

« Dans de nombreux cas, des autorisations sont configurées pour permettre à tout utilisateur de déployer des flux de travail », selon l’analyse d’Intezer. « Dans les cas où les autorisations sont mal configurées, il est possible pour un attaquant d’accéder à un tableau de bord Argo ouvert et de soumettre son propre flux de travail. »

Les chercheurs ont déclaré que les mauvaises configurations peuvent également exposer des informations sensibles telles que le code, les informations d’identification et les noms d’images de conteneurs privés (qui peuvent être utilisés pour aider à d’autres types d’attaques).

L’analyse du Web par Intezer a trouvé des tas d’instances non protégées, exploitées par des entreprises de plusieurs secteurs, notamment la technologie, la finance et la logistique.

« Nous avons identifié des nœuds infectés et il existe un potentiel d’attaques à plus grande échelle en raison de centaines de déploiements mal configurés », selon Intezer. Dans un cas, un code incorrect s’exécutait sur un cluster exposé dans Docker Hub pendant neuf mois avant d’être découvert et supprimé.

kubernetes

Les attaques ne sont pas difficiles à mener : les chercheurs ont observé différents malwares populaires(notamment Kannix et XMRig) de minage de Monero hébergés dans des conteneurs situés dans des référentiels tels que Docker Hub. Les cybercriminels n’ont qu’à importer l’un de ces conteneurs dans Kubernetes via Argo ou une autre voie. Par exemple, Microsoft a récemment signalé une vague de mineurs infestant Kubernetes via le framework Kubeflow pour exécuter des workflows d’apprentissage automatique.

« Dans Docker Hub, il existe encore un certain nombre d’options pour le minage de Monero que les attaquants peuvent utiliser », ont déclaré les chercheurs. « Avec une simple recherche, cela montre qu’il y a au moins 45 autres conteneurs avec des millions de téléchargements. »

Comment vérifier les erreurs de configuration d’Argo?

Le moyen le plus rapide de voir si les autorisations sont configurées correctement est d’essayer simplement d’accéder au tableau de bord Argo Workflows à partir d’un navigateur incognito non authentifié en dehors de l’environnement de l’entreprise, ont noté les chercheurs.

Un moyen de vérification plus axé sur la technologie consiste à interroger l’API d’une instance et à vérifier le code d’état, ont ajouté les chercheurs.

« Faites une requête HTTP GET à [votre.instance:port]/api/v1/info », selon l’analyse. « Un code d’état HTTP « 401 Unauthorized » tout en étant un utilisateur non authentifié indiquera une instance correctement configurée, alors qu’un code d’état de « 200 Success » pourrait indiquer qu’un utilisateur non autorisé peut accéder à l’instance. »

Les administrateurs peuvent également rechercher toute activité suspecte dans les logs et dans la chronologie du workflow. Intezer a souligné que tout flux de travail qui s’est exécuté pendant une durée excessive pourrait indiquer une activité de crypto-minage.

« Même si votre cluster est déployé sur un service Kubernetes géré comme Amazon Web Service (AWS), EKS ou Azure Kubernetes Service (AKS), le modèle de responsabilité partagée indique toujours que le client cloud, et non le fournisseur cloud, est responsable de la prise en charge de toutes les configurations de sécurité nécessaires pour les applications qu’ils déploient », ont noté les chercheurs.

Les mauvaises configurations du cloud offrent des vecteurs de cyberattaque

Les erreurs de configuration continuent de tourmenter le secteur du cloud et les organisations de toutes tailles. Une analyse de l’automne dernier a révélé que 6 % de tous les buckets Google Cloud sont mal configurés et laissés ouverts à l’Internet public, pour que quiconque puisse accéder à leur contenu.

Parfois, ces gaffes font les gros titres : en Mars, il a été révélé que Hobby Lobby avait laissé 138 Go d’informations sensibles dans un bucket cloud ouvert à l’Internet public. Le trésor comprenait les noms des clients, les détails partiels de la carte de paiement, les numéros de téléphone et les adresses physiques et électroniques.

Selon une enquête de la Cloud Native Computing Foundation (CNCF) en 2020, 91% des personnes interrogées utilisaient Kubernetes, les personnes interrogées déclarant que les principaux défis liés à l’utilisation et au déploiement de conteneurs sont la complexité, la sécurité et le manque de formation.

« Kubernetes… est l’un des référentiels les plus populaires sur GitHub, avec plus de 100 000 commits et plus de 3 000 contributeurs », ont noté les chercheurs d’Intezer. « Chaque année, le nombre d’entreprises utilisant Kubernetes et le nombre de clusters qu’elles déploient augmentent régulièrement. Avec ces défis auxquels les entreprises sont confrontées à l’aide de conteneurs et de clusters Kubernetes, il n’y a jamais eu de plus grande opportunité pour les attaquants d’exploiter les failles de sécurité… il y a toujours la possibilité d’une mauvaise configuration ou d’une exploitation.

Laisser un commentaire