Son zamanlarda, Aqua Security’deki siber güvenlik araştırmacıları tarafından, arka kapıları bir araya getirmek ve Monero gibi kripto para madenciliği yapmak için Kubernetes RBAC’den yararlanan yeni bir saldırı kampanyası keşfedildi.
RBAC olarak bilinen Kubernetes API erişim kontrol sistemi, yöneticilerin hangi hizmet hesaplarının veya kullanıcıların API işlemlerine ve kaynaklarına erişimi olduğunu belirlemesine olanak tanır.
Bu sistem hassas erişim kontrolü sağlar ve kritik kaynaklara erişimi sınırlandırarak güvenlik önlemlerini artırır.
Kubernetes RBAC Aracılığıyla Siber Saldırı
Tehdit aktörleri, kötü amaçlı erişim denetimi ilkelerini uygulamak için RBAC’den yararlanarak başlangıçtaki hatalı erişim yapılandırmasını giderdikten sonra bile güvenliği ihlal edilmiş kümelerde kalıcılık sağlayabilir.
‘Nautilus’ adlı bir Aqua Güvenlik ekibi, ‘RBAC Buster’ adını verdikleri bu yeni saldırı türünü keşfetti. Bu kampanya sonucunda hatalı yapılandırılmış 60 Kubernetes kümesinin ele geçirildiği bildirildi.
Tehdit aktörü, neredeyse tam yönetici ayrıcalıklarına sahip yeni bir ClusterRole oluşturarak, “kube-system” ad alanı içinde bir “kube-denetleyici” ServiceAccount oluşturarak ve ardından ClusterRole ile ServiceAccount’u bir “ClusterRoleBinding” aracılığıyla bağlayarak güçlü ve gizli bir süreklilik oluşturdu. .
Saldırgan burada, K8s bal küplerinde açığa çıkan AWS erişim anahtarlarından şu amaçlarla yararlanmaya çalıştı:-
- Sistemde sürekli bir dayanak noktası oluşturun.
- Hassas bilgileri ayıklayın
- Kümenin kısıtlamalarından kaçının
Saldırgan tarafından farklı ad alanlarındaki çeşitli mevcut dağıtımlar da silindi, bunlara şunlar dahildir:-
- güvenli-fhgxtsjh
- güvenli-fhgxt ol
- api-proxy
- işçi dağıtımı
Failin son hamlesi, saldırının bir parçası olarak Docker tarafından barındırılan bir konteyner görüntüsünü (“kubernetesio/kube-controller:1.0.1”) her düğüme yaymak için bir DaemonSet oluşturmaktı.
Kripto madenci, son beş ayda 14.000’den fazla indirilen kapsayıcının içinde gizlidir. Meşru ‘kubernetesio’ hesabını yazım hatası yaparak, ‘kuberntesio/kube-controller’ kapsayıcı görüntüsü kullanıcıları aldatır.
Görüntü ayrıca, düğüm hatalarını saptamaktan ve ele almaktan sorumlu temel ‘kube-denetleyici-yönetici’ kapsayıcı görüntüsünü taklit eder ve her ana düğümde bir Bölme içinde çalışır.
Yapılandırma dosyası incelendiğinde, failin zaten 5 XMR madenciliği yaptığı ve işçi başına yılda 200 ABD dolarına kadar kazanabileceği anlaşıldı.
Ayrıca, Kubernetes kümelerine yönelik RBAC Buster saldırıları, aşağıdakiler gibi ciddi sonuçlara yol açabilir:-
Azaltmalar
Aşağıda, tehdidi azaltmak için uzmanlar tarafından önerilen güvenlik önlemlerinden bahsetmiştik: –
- Anonim kullanıcılardan gelen kimliği doğrulanmamış istekleri yasaklayın.
- API sunucusunun güvenliğini sağladığınızdan emin olun.
- Rol Tabanlı Erişim Kontrolünü (RBAC) etkin bir şekilde kullandığınızdan emin olun.
- Katı API erişim politikaları uygulayın.
- Denetim günlüklerini düzenli olarak izleyin.
- Tüm sırları uygun şifreleme ile şifrelediğinizden emin olun.
- Her zaman kümede barındırılan hesap kimlik bilgilerini güvenceye alın.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin