V · 2022年05月26日

超 38 万个 Kubernetes API 服务器暴露于互联网

近日,有研究人员发现,超过 38 万个 Kubernetes API 服务器允许以某种方式访问公共互联网,这让用于管理云部署的流行开源容器 Kuvernetes 变成了一个广泛的攻击域,易于被威胁者当作攻击目标。

据本周的一篇博客称,Shadowserver 基金会在扫描互联网上的 Kubernetes API 服务器时发现了此问题。目前,受影响的服务器已经超过了 45 万个。

ShadowServer 每天会对 IPv4 空间的端口 443 和 6443 进行扫描,寻找响应 'HTTP 200 OK 状态 ' 的 IP 地址,若得到响应,则该请求已经成功。

研究人员表示,在 Shadowserver 发现的 454729 个 Kubernetes API 实例中,有 381645 个响应"200 OK"。因此,开放的 API 实例占 Shadowserver 扫描的所有 API 实例的近 84%。

此外,大部分可访问的 Kubernetes 服务器共有 201348 个,其中有将近 53% 都位于美国。

该博客称,虽然扫描的结果并不意味着这些服务器完全开放或容易受到攻击,但它确实表明了这些服务器中都存在"一个暴露的攻击面 " 。

研究人员指出,这种暴露可能会让各种版本和构建的信息发生泄漏。

云设施一直在处于攻击之中

让人非常不安的是,攻击者已经越来越多地瞄准 Kubernetes 云集群进行攻击。

但事实上,数据安全公司 comforte AG 的网络安全专家 Erfan Shadabi在给媒体的一封电子邮件中表示,对于 Shadowserver 扫描发现如此多 Kubernetes 服务器暴露在公共互联网上这件事,他并不惊讶:

“Kubernetes 为企业的敏捷应用交付提供了很多便利,有一些特征使其成为理想的攻击目标,例如,由于拥有许多容器,Kubernetes 有一个很大的攻击面,如果不预先采取保护措施,就很有可能被攻击者利用。”

开源设施的安全性

此发现引出了一个长期存在的问题,即如何构建开源系统的安全性,这些系统作为现代互联网和云基础设施的一部分,在互联网中已经无处不在。因此,针对它们的攻击已经成为了对它们所连接的无数系统的攻击。

其实这个问题在去年就已被注意到,六个月前,研究人员发现了无处不在的 Java 日志库 Apache Log4j 中的 Log4Shell 漏洞。

该漏洞很容易被利用,并且允许未经身份验证的攻击者远程执行代码 (RCE) 和完全接管服务器。最近的一份报告发现,尽管有可用于 Log4Shell 的补丁,但仍有数百万的 Java 应用程序仍然存在大量漏洞。

据 Shadabi 称,Kubernetes 存在一个致命弱点:平台内置的数据安全功能只能以最低限度保护数据,并且数据本身没有得到持续的保护,例如使用行业公认的技术,如字段级标记化等。因此,如果一个生态系统受到损坏,它所处理的敏感数据迟早会受到更隐蔽的攻击。

Shadabi 对于那些在生产环境中使用容器和 Kubernetes 的组织的建议是,要像对待 IT 基础设施一样认真全面的对待 Kubernetes 的安全。

最后,Shadowserver 基金会建议,如果管理员发现其环境中的 Kubernetes 实例可以访问互联网,他们应该考虑采取访问授权或在防火墙层面进行阻断,以减少暴露的攻击面。

推荐阅读
关注数
4189
内容数
866
SegmentFault 思否旗下人工智能领域产业媒体,专注技术与产业,一起探索人工智能。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息