Mais de 380.000 servidores de API do Kubernetes permitem algum tipo de acesso à Internet pública, tornando o popular mecanismo de orquestração de contêineres de código aberto para gerenciar implantações na nuvem um alvo fácil e uma ampla superfície de ataque para os agentes de ameaças, descobriram os pesquisadores.
A Shadowserver Foundation descobriu o acesso quando escaneou a internet em busca de servidores API Kubernetes, dos quais existem mais de 450.000, de acordo com um post publicado esta semana.
“O ShadowServer está realizando varreduras diárias do espaço IPv4 nas portas 443 e 6443, procurando endereços IP que respondam com um ‘status HTTP 200 OK’, o que indica que a solicitação foi bem-sucedida”, segundo o post.Infosec Insiders Newsletter.
Das mais de 450.000 instâncias da API do Kubernetes identificadas pelo Shadowserver, 381.645 responderam com “200 OK”, disseram os pesquisadores. Ao todo, o Shadowserver encontrou 454.729 servidores de API do Kubernetes. As instâncias de API “abertas” constituem, portanto, quase 84% de todas as instâncias que o Shadowserver escaneou.
Além disso, a maioria dos servidores Kubernetes acessíveis – 201.348, ou quase 53% – foram encontrados nos Estados Unidos, de acordo com o post.
Embora essa resposta à verificação não signifique que esses servidores estejam totalmente abertos ou vulneráveis a ataques, ela cria um cenário em que os servidores têm uma “superfície de ataque desnecessariamente exposta”, de acordo com o post.
“Esse nível de acesso provavelmente não foi planejado”, observaram os pesquisadores. A exposição também permite vazamento de informações sobre a versão e compilações, acrescentaram.
Nuvem sob ataque
As descobertas são preocupantes, uma vez que os invasores já estão cada vez mais atacando clusters de nuvem do Kubernetes, além de usá-los para lançar outros ataques contra serviços de nuvem. De fato, a nuvem historicamente sofreu com uma configuração incorreta desenfreada que continua a atormentar as implantações, com o Kubernetes não sendo exceção.
Na verdade, Erfan Shadabi, especialista em segurança cibernética, disse em um e-mail que não ficou surpreso que a varredura do Shadowserver tenha encontrado tantos servidores Kubernetes expostos à Internet pública.
“O Kubernetes oferece enormes benefícios às empresas para entrega ágil de aplicativos, existem algumas características que o tornam um alvo de ataque ideal para exploração”, disse ele. “Por exemplo, como resultado de ter muitos contêineres, o Kubernetes tem uma grande superfície de ataque que pode ser explorada se não for protegida preventivamente.”
Segurança de código aberto exposta
As descobertas também levantam a questão perene de como construir segurança em sistemas de código aberto que se tornam onipresentes como parte da infraestrutura moderna baseada na internet e na nuvem, tornando um ataque a eles um ataque à miríade de sistemas aos quais estão conectados.
Infelizmente, esse problema foi destacado no caso da vulnerabilidade Log4Shell na onipresente biblioteca de log de Java Apache Log4j que foi descoberta em dezembro passado.
A falha, que é facilmente explorável e pode permitir a execução remota de código (RCE) não autenticada e o controle completo do servidor, continua sendo alvo de invasores. Na verdade, um relatório recente encontrando milhões de aplicativos Java ainda vulneráveis, apesar de um patch estar disponível para o Log4Shell.
Um calcanhar de Aquiles em particular do Kubernetes é que os recursos de segurança de dados incorporados à plataforma estão apenas no “mínimo” – protegendo os dados em repouso e os dados em movimento, disse Shadabi. Em um ambiente de nuvem, essa é uma perspectiva perigosa.
“Não há proteção persistente de dados em si, por exemplo, usando técnicas aceitas pelo setor, como tokenização em nível de campo”, observou ele. “Portanto, se um ecossistema estiver comprometido, é apenas uma questão de tempo até que os dados confidenciais processados por ele sucumbam a um ataque mais insidioso.”
O conselho da Shadabi para organizações que usam contêineres e Kubernetes em seus ambientes de produção é levar a segurança do Kubernetes tão a sério quanto todos os aspectos de sua infraestrutura de TI, disse ele.
Por sua vez, o Shadowserver recomendou que, se os administradores descobrirem que uma instância do Kubernetes em seu ambiente está acessível à Internet, eles devem considerar a implementação de autorização de acesso ou bloqueio no nível do firewall para reduzir a superfície de ataque exposta.
Fonte: https://threatpost.com/