Microsoft Tehdit İstihbaratı’ndan şaşırtıcı bir vahiyde, tehdit aktörleri, kriptominasyon gibi yasadışı faaliyetler yürütmeyi giderek daha fazla teminatsız Kubernetes kümelerini hedefliyor.
Kapsayıcı ortamların dinamik ve karmaşık doğası, güvenlik ekipleri için çalışma zamanı anormalliklerini tespit etmede veya ihlal kaynağını belirlemede önemli zorluklar doğurur.
Konteyner ortamlarında artan tehditler
Microsoft’un verilerine göre, geçtiğimiz yıl, iş yükü kimliklerinin% 51’i tamamen etkin kaldı ve kötü niyetli varlıkların sömürmesi için olgun bir saldırı vektörü yarattı.
.png
)
Bu güvenlik açığı, Hizmet Olarak Konteynerlerin Artan benimsenmesi ile birleştirilir ve Microsoft’un Kubernetes için tehdit matrisi ve 2021’de MIER ile geliştirilen kapsayıcılar için ATT & CK gibi güvenlik çerçevelerini sürekli olarak izlemesini ve güncellemesini ister.
Vaka çalışması: Azurechecker ve şifre sprey saldırıları
Microsoft tarafından Storm-1977 olarak izlenen belirli bir örnek, bu saldırıların, özellikle eğitim sektöründe karmaşıklığını sergiliyor.
Tehdit oyuncusu, bulut kiracılarına karşı şifre sprey saldırıları yürütmek için bir komut satırı aracı olan Azurechecker.exe’yi kullandı.
Kötü niyetli bir alana bağlanarak, Sac-auth[.]nodefonksiyon[.]Araç, şifrelenmiş hedef listeleri indirdi ve hesapları tehlikeye atmak için bir giriş dosyasından, hesaps.txt’den kimlik bilgisi kombinasyonlarını kullandı.
Gözlenen bir ihlalde, tehlikeye atılan bir Azure aboneliği içinde bir kaynak grubu oluşturmak için bir konuk hesabı kullanıldı ve daha sonra kriptominasyona adanmış 200’den fazla konteyneri döndürdü.
Bu olay, saldırganların kâr için geniş hesaplama kaynaklarını sessizce kullanabileceği teminatsız kimliklerin ve yanlış yapılandırılmış ortamların ciddi sonuçlarının altını çizmektedir.
Microsoft, Kubernetes ortamlarında, küme devralmalarına yol açan tehlikeye atılmış bulut kimlik bilgileri, savunmasız veya modası geçmiş konteyner görüntüleri, yanlış yapılandırılmış API’ler, SQL enjeksiyonu gibi uygulama katmanlı istismarlar, Pod Escape üzerinden düğüm seviyesi saldırıları ve yetkilendirilmemiş ağ trafiği dahil olmak üzere birden fazla tehdit vektörünü tanımlar.
Bu güvenlik açıkları, konteyner yaşam döngüsü boyunca güçlü güvenlik önlemlerine acil ihtiyaç duyulur.
Bu risklerle mücadele etmek için Microsoft, güvenlik açıklarını taramak, çalışma zamanı yamalarını önlemek için değişmez kapları uygulamak ve güvenilmeyen veya kaynak heavy dağıtımlarını engellemek için giriş denetleyicilerinden yararlanmak için Bulut için Microsoft Defender gibi araçları kullanarak dağıtımdan önce kodu güvence altına almak gibi en iyi uygulamaları savunur.
Çalışma zamanı sırasında, Kubernetes konfigürasyonları için aracısız keşifin yanı sıra, Defender XDR ve Container Insights aracılığıyla kötü niyetli API çağrıları ve anormal aktiviteler için sürekli izleme kritiktir.
Temel kimlik doğrulama, çok faktörlü kimlik doğrulama (MFA) ve ayrı rol tabanlı erişim kontrolleri (RBAC) gibi Entra ID gibi güçlü kimlik doğrulama yöntemleri için ayrıcalık artışını sınırlamak için kullanıcı hesaplarının ve izinlerin güvence altına alınması çok önemlidir.
Ağ sertleştirmesi, API sunucusunun güvenlik duvarları aracılığıyla erişimini kısıtlamak, Kubernetes ağ politikalarını uygulamak ve maruz kalmayı en aza indirmek için tam zamanında (JIT) erişim kullanmak gibi stratejilerle eşit derecede hayati önem taşır.
Microsoft ayrıca kuruluşları CI/CD boru hatlarını güvence altına almaya, görüntü güvence politikalarını uygulamaya ve hassas arayüzlerin internete maruz kalmasını sınırlamaya çağırıyor.
Konteyner benimseme dalgalanmaları olarak, bu kapsamlı önlemler, Kubernetes’i kriptominasyon gibi hain amaçlar için sömüren tehdit aktörlerini engellemek için gereklidir ve kuruluşların dijital varlıklarını gelişen bir tehdit manzarasına karşı koruyabilmelerini sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!