Más de 900 000 clústeres de Kubernetes expuestos

Los clústeres de Kubernetes son entornos informáticos como cualquier otro. Por lo tanto, esto significa que también están expuestos y potencialmente abiertos a ataques de piratas informáticos de todo tipo. El compromiso de la consola de administración Kubernetes de Tesla en 2018 lo demuestra. En una encuesta más reciente, el especialista en gestión de riesgos y amenazas Intel Cyble identificó más de 900 000 clústeres de K8 expuestos en la web. “Esto no implica necesariamente que todas las instancias expuestas sean vulnerables a un ataque o que resulten en la pérdida de datos confidenciales. Más bien, enfatiza la existencia de prácticas de configuración incorrecta aparentemente simples que podrían convertir a las empresas en objetivos lucrativos para los atacantes en el futuro”, dice Cyble.

En su encuesta, Cyble notó que Estados Unidos tenía el mayor número de exposiciones (65 %), seguido de China (14 %), Alemania (9 %), Irlanda (6 %), empatado con los Países Bajos (6 %). Los componentes de las instancias de K8 a los que se puede apuntar son: KubernetesDashboard, Kubernetes-master, Kubernetes, Kube, K8 y Favicon:2130463260, -1203021870. En cuanto a los puertos más expuestos, en primer lugar 443 (1.038.923), 10.250 (231.223) y 6.443 (84.443).

975.371 solicitudes no autenticadas aceptadas por la API de Kubelet

Durante su investigación, Cyble también descubrió que la mayoría de los entornos de Kubernetes expuestos tenían un código de estado de 403 (975,371). "Esto significa que la API de Kubelet aceptó la solicitud no autenticada, pero determinó que no teníamos los derechos (permisos) necesarios para visitar este punto final", dijo el editor. “Algunas de las exhibiciones arrojaron el código de estado 401 (4954). Esta información supone que se está ejecutando un clúster de Kubernetes en el entorno. Esto puede llevar al atacante a intentar varios exploits y vulnerabilidades de K8 para entrar en el entorno”. Y los investigadores de Cybel también informan que las instancias expuestas devolvieron el código de estado 200 (799), lo que indica que algunos nodos que ejecutan Kubelet respondieron con información sobre los pods que se ejecutan en ese nodo.

Para evitar que las configuraciones predeterminadas se conviertan en amenazas de seguridad importantes, se pueden (deben) tomar medidas. Esto también se aplica a configuraciones incorrectas, como usar nombres de contenedores predeterminados, no proteger el panel de control de Kubernetes con una contraseña segura o dejar los puertos de servicio abiertos al público de forma predeterminada. Si es necesario, las empresas están expuestas al riesgo de fuga de datos.

10 recomendaciones para proteger los entornos de tu K8

1. Mantenga Kubernetes actualizado con la última versión;
2. Retire las herramientas de depuración de los contenedores de producción;
3. Controlar quién tiene acceso a la API de Kubernetes y qué permisos tienen con el control de acceso basado en roles (RBAC);
4. Limitar la exposición de activos y puertos críticos. Asegúrese de que su red restrinja el acceso a puertos relacionados con kubelet, como 10255 y 10250. Considere limitar el acceso al servidor API de Kubernetes solo a redes confiables;
5. Para minimizar el posible impacto de una infracción, las cargas de trabajo más importantes deben ejecutarse en un grupo separado de estaciones de trabajo. Este método reduce la posibilidad de que se acceda a una aplicación confidencial a través de una aplicación menos segura que comparte un entorno de tiempo de ejecución o un host de contenedor;
6. Siga las mejores prácticas de configuración de Kubernetes;
7. Crear y definir políticas de red de clúster y una política de seguridad de pod para todo el clúster;
8. Antes de revisar los problemas de seguridad específicos de Kubernetes o las mejoras de seguridad, realice una evaluación comparativa de CIS;
9. Asegúrese de que los registros de auditoría estén habilitados y monitoreados para solicitudes de API inusuales, especialmente fallas de autorización;
10. Minimice el acceso administrativo a los nodos de Kubernetes.