Microsoft’un Siber Güvenlik Araştırma Ekibi, Apache Pinot, Meshery ve Selenium Grid gibi popüler bulut doğal uygulamaların kritik güvenlik boşluklarıyla konuşlandırıldığını ortaya koyan varsayılan dümen grafikleri ve Kubernetes dağıtım şablonlarını kullanma riskleri hakkında keskin bir uyarı yayınladı.
Bu yanlış yapılandırmalar genellikle koruma saldırganlarına veritabanlarını ele geçirmeye, keyfi kod yürütmeye ve kümeler üzerinde idari kontrol kazanmasına izin verilen kolaylık önceliklendirme.
Büyük veri kümelerinde düşük gecikmeli sorgular için kullanılan gerçek zamanlı bir analiz veritabanı olan Apache Pinot, “varsayılan bağlılık” yapılandırmalarının tehlikelerini örneklendirir.
.png
)
Microsoft’un bulut ekibi savunucusu, resmi dümen grafiğinin Pinot’un komisyoncu ve denetleyici hizmetlerini Kubernetes aracılığıyla ortaya koyduğunu buldu LoadBalancer kimlik doğrulaması olmadan hizmetler.
Bu, saldırganların hassas veri kümelerini sorgulayabileceği veya küme yapılandırmalarını Pinot’un gösterge tablosu aracılığıyla manipüle edebileceği 9000 numaralı bağlantı noktasına sınırsız erişim sağlar.
Microsoft tarafından analiz edilen son olaylar, Pinot kullanan kuruluşlardan verileri yaymak için bu boşlukları kullanan saldırganları ortaya çıkardı.
Kurulumun “referans” bir yapılandırması olduğuna dikkat çekmesine rağmen, doğal güvenlik riskleri hakkında hiçbir uyarı sağlanmadı ve işletmeleri maruziyetin farkında değil.
Mesery açık kayıt riskleri kümeler
Bulut doğal altyapısını yönetmek için bir platform olan Meshery, sömürü için başka bir vektör sunuyor.
Varsayılan dümen kurulumu, arayüzü harici bir IP aracılığıyla ortaya çıkarır ve sınırsız kullanıcı kayıtlarına izin verir.
Saldırganlar, küme metriklerini, dağıtım hizmetlerini ve hatta yeni kapsüller için dağıtım özelliklerini gösteren gösterge tablolarına erişmek için hesaplar oluşturabilir.
Microsoft’un ana güvenlik araştırma müdürü Yossi Weizman, “Bu sadece veri sızıntılarıyla ilgili değil” diye açıklıyor. “Kullanıcılar olarak kaydolan saldırganlar, kötü amaçlı iş yükleri dağıtabilir, düğümlerin tam kontrolünü ele geçirmek için ayrıcalıkları artırabilir”.
Meshery’nin ekibi ağ kısıtlamaları önerirken, varsayılan yapılandırma, internete dönük dağıtımlar için tehlikeli bir gözetim olan dahili kullanımını varsayar.
Saldırganlar Selenium Izgarasını Hedef
Otomatik tarayıcı testi için bir araç olan Selenyum Grid, son zamanlarda yaygın saldırı kampanyalarında hedeflendi.
Resmi dümen grafiği harici pozlamayı önlemesine rağmen, Microsoft üçüncü tarafı tanımladı Github şablonları kullanıyor NodePort veya LoadBalancer selenyum örneklerini ortaya çıkarmak için hizmetler.
Genellikle topluluk depolarından kopyalanan bu kurulumlar, kimlik doğrulamasından yoksun, saldırganların tarayıcı oturumlarını kaçırmasına veya kripto madencilik yazılımını dağıtmasına izin veriyor.
Wiz ve CADO Security gibi güvenlik firmaları, saldırganların altta yatan düğümlerde komutlar yürütmek için Selenium Grid’i kullandıkları vakaları belgeledi.
Microsoft güvenlik araştırmacısı Michael Katchinskiy, “Kimlik doğrulama ve internet maruziyetinin kombinasyonu felakettir” diyor. “Bir test aracını küme devralması için bir ağ geçidine dönüştürüyor”.
Hafifletme yolu
Microsoft kuruluşları şunlara çağırıyor:
- Gereksiz harici pozlama için dümen grafiklerini denetleyin (örn.
LoadBalancerhizmetler) ve bunları değiştirinClusterIPmümkünse. - Kubernetes ağ politikalarını veya hizmet ağlarını kullanarak dahili hizmetler için bile kimlik doğrulamasını uygulayın.
- Beklenmedik kullanıcı kayıtları veya POD oluşturma gibi anormal faaliyetler için dağıtımları izleyin.
Weizman, “Varsayılan konfigürasyonlar çift kenarlı bir kılıçtır” diyor. “Dağıtımı basitleştiriyorlar, ancak çoğu zaman gerçek dünya ortamlarının tehdit modelini görmezden geliyorlar”.
Bulut anadili saldırılar arttıkça, dümen grafiklerinin proaktif sertleşmesi artık isteğe bağlı değil-veri ve altyapıyı korumak için kritik önem taşıyor.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir