Plus de 900 000 clusters Kubernetes mal configurés ont été découverts exposés sur Internet à des analyses potentiellement malveillantes, dont 65 % sont situés aux États-Unis, et 14 % en Chine

Kubernetes est un système d'orchestration de conteneurs open-source très polyvalent permettant d'héberger des services en ligne et de gérer des charges de travail conteneurisées via une interface API uniforme.

Il bénéficie d'une adoption et d'une croissance massives grâce à son évolutivité, sa flexibilité dans les environnements multi-clouds, sa portabilité, sa réduction des coûts, du développement d'applications et du temps de déploiement du système.

Toutefois, si Kubernetes n'est pas configuré correctement, des acteurs distants peuvent avoir accès à des ressources internes et à des actifs privés qui ne sont pas censés être rendus publics.

De plus, en fonction de la configuration, les intrus peuvent parfois élever leurs privilèges à partir des conteneurs pour rompre l'isolation et passer aux processus hôtes, ce qui leur donne un accès initial aux réseaux internes de l'entreprise pour des attaques ultérieures.

Trouver des Kubernetes exposés

Les chercheurs de Cyble ont mené un exercice visant à localiser les instances Kubernetes exposées sur Internet, en utilisant des outils d'analyse et des requêtes de recherche similaires à ceux employés par les acteurs malveillants.

Les résultats montrent qu'il existe 900 000 serveurs Kubernetes, dont 65 % (585 000) sont situés aux États-Unis, 14 % en Chine, 9 % en Allemagne, 6 % aux Pays-Bas et 6 % en Irlande.

Nom : Untitled.png
Affichages : 1123
Taille : 284,0 Ko

Parmi les serveurs exposés, les ports TCP les plus exposés étaient "443", avec un peu plus d'un million d'instances, "10250" comptant 231, 200, et "6443" avec 84 400 résultats.

Il est essentiel de souligner que tous ces clusters exposés ne sont pas exploitables, et même parmi ceux qui le sont, le niveau de risque varie en fonction de la configuration individuelle.

Cas à haut risque

Pour évaluer combien d'instances exposées pourraient présenter un risque important, Cyble a examiné les codes d'erreur renvoyés aux requêtes non authentifiées à l'API Kubelet.

La grande majorité des instances exposées renvoient le code d'erreur 403, ce qui signifie que la demande non authentifiée est interdite et ne peut pas aboutir, de sorte qu'aucune attaque ne peut être lancée contre elles.

Nom : Untitled.png
Affichages : 1081
Taille : 66,8 Ko

Il existe ensuite un sous-ensemble d'environ cinq mille instances qui répondent par le code d'erreur 401, indiquant que la demande n'est pas autorisée.

Nom : Untitled.png
Affichages : 1085
Taille : 36,2 Ko

Cependant, cette réponse donne à un attaquant potentiel un indice que le cluster fonctionne, et il pourrait essayer des attaques supplémentaires basées sur des exploits et des vulnérabilités.

Enfin, il y a un petit sous-ensemble de 799 instances Kubernetes qui renvoient un code d'état 200, qui sont complètement exposées aux attaquants externes.

Dans ces cas, les acteurs de la menace peuvent accéder aux nœuds sur le tableau de bord Kubernetes sans mot de passe, accéder à tous les secrets, effectuer des actions, etc.

Nom : Untitled.png
Affichages : 1079
Taille : 37,6 Ko

Si le nombre de serveurs Kubernetes vulnérables est assez faible, il suffit qu'une vulnérabilité exploitable à distance soit découverte pour qu'un nombre bien plus important de dispositifs deviennent vulnérables aux attaques.

Pour vous assurer que votre cluster ne fait pas partie de ces 799, ou même de l'ensemble moins gravement exposé des 5 000 instances, consultez les conseils de la NSA et du CISA sur le renforcement de la sécurité de votre système Kubernetes.

Obtenir une image claire

Le mois dernier, la Fondation Shadowserver a publié un rapport sur les instances Kubernetes exposées dans lequel elle a découvert 381 645 adresses IP uniques répondant avec un code d'erreur HTTP 200.

Cyble a déclaré que la raison de cet écart important est qu'ils ont utilisé des scanners open-source et des requêtes simples qui seraient à la disposition de n'importe quel acteur de la menace, alors que Shadowserver a scanné l'ensemble de l'espace IPv4 et surveillé les nouveaux ajouts quotidiennement.

"Les statistiques fournies dans le blog de Kubernetes qui sont publiées de notre côté sont basées sur les scanners open-source et les requêtes disponibles pour le produit. Comme indiqué dans le blog, nous avons effectué des recherches sur la base des requêtes "Kubernetes", "Kubernetes-master", "KubernetesDashboard", "K8", et des hashs de favicon avec les codes de statut 200, 403 et 401", explique Cyble.

Le Shadowserver adopte une approche différente pour trouver l'exposition, comme l'indique son blog sur Kubernetes : "Nous effectuons un scan quotidien avec une requête HTTP GET utilisant l'URI /version. Nous analysons tout l'espace IPv4 sur les ports 6443 et 443. Nous n'incluons que les serveurs Kubernetes qui répondent avec un 200 OK (avec une réponse JSON d'accompagnement), et donc qui divulguent des informations de version dans leur réponse.' "

"Comme nous ne scannons pas l'espace IPv4 complet comme le serveur fantôme et que nous nous appuyons sur l'intel qui se trouve dans l'open-source, les résultats que nous obtenons sont différents de ceux de Shadowserver."

Alors que les chiffres de Cyble ne sont peut-être pas aussi impressionnants, ils sont très importants du point de vue que ces chiffres correspondent à des clusters Kubernetes qui sont très faciles à localiser et à attaquer.

Source : Cyble

Et vous ?

Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?

Voir aussi :

La sécurité et la conformité des conteneurs restent un défi majeur, tandis que leur adoption s'accélère, 89 % des professionnels de DevOps possédant des déploiements actifs, selon NeuVector

Le rapport de Red Hat sur la sécurité de Kubernetes révèle que l'homme est le problème, l'entreprise estime que la complexité de Kubernetes déconcerte le cerveau humain

La NSA et la CISA des États-Unis publient un guide pour renforcer la sécurité des clusters Kubernetes, en vue d'aider les entreprises à rendre leurs infrastructures plus résilientes

L'attrait des développeurs pour les conteneurs et Kubernetes est principalement motivé par l'évolution de leur carrière, selon une étude de Red Hat