微軟揭露近期針對Kubernetes叢集的新型態挖礦攻擊,其惡意容器在2小時內,就感染了數十個Kubernetes叢集,微軟提供使用者數項避免被攻擊的建議,包括不要在網際網路上暴露Kubernetes儀表板,並且只給與儀表板服務帳號必要的權限等。

雲端容器調度工具Kubernetes已經成為標準,被企業大量的使用,而容器化環境的加密貨幣挖礦攻擊也並不少見,通常這些惡意挖礦活動,會在有漏洞的容器中悄悄的運作。而微軟提到,他們最近發現的這個挖礦攻擊,特別之處在於其規模龐大,惡意容器僅在2個小時內,就被部署到數十個Kubernetes叢集上。

這個容器來自於公開儲存庫中的映像檔kannix/monero-miner,這個映像檔執行熱門的開源加密貨幣Monero礦工XMRig。從遙測資料顯示,這個容器是以Kubernetes部署控制器kube-control部署,配置文件設定每個叢集會執行10個Pod副本(Replicas)。

此外,這個惡意攻擊在部署挖礦容器的同時,也會列舉包括Kubernetes秘密資訊等叢集資源,這將會使連接字串、密碼和其他秘密資訊暴露,使其能進行橫向移動。微軟提到,這個攻擊有趣的地方在於,其活動身份使用system:serviceaccount:kube-system:kubernetes-dashboard,而這是儀表板的服務帳號,代表惡意容器由Kubernetes儀表板部署,同樣的,資源列舉也是由儀表板服務帳號啟動。

惡意攻擊者有三種方式可以使用Kubernetes儀表板,第一種是攻擊者掃描暴露在網際網路上的儀表板,並加以利用,第二種則是攻擊者有辦法存取叢集裡其中一個容器,並使用叢集內部網路存取儀表板,而這個行為是Kubernetes預設配置,第三種方法,是攻擊者利用雲端和叢集憑證合法瀏覽儀表板。

由於微軟Azure安全中心所掃描到受攻擊的叢集,其儀表板都暴露在網際網路上,因此微軟認為,這次的攻擊是使用暴露在網際網路的公開儀表板作為媒介,因此微軟建議叢集管理者,不要把Kubernetes儀表板暴露在網際網路上,因為這同時也代表著,向外暴露其管理介面。微軟也建議,叢集最好應用RBAC(Role-Based Access Control),使用以角色為基礎的存取控制,將能有效限制儀表板服務帳號的權限,使其無法部署新容器。

當叢集使用儀表板,管理者應該僅授與儀表板服務帳戶必要的權限,像是當儀表板僅用於監控,就僅給予get權限就好。另外,管理者應僅允許叢集使用受信任的映像檔,從受信任的註冊表中,部署受信任的容器。


Advertisement

更多 iThome相關內容