Kubernetes est un systme d’orchestration de conteneurs open-source trs polyvalent permettant d’hberger des services en ligne et de grer des charges de travail conteneurises via une interface API uniforme.
Il bnficie d’une adoption et d’une croissance massives grce son volutivit, sa flexibilit dans les environnements multi-clouds, sa portabilit, sa rduction des cots, du dveloppement d’applications et du temps de dploiement du systme.
Toutefois, si Kubernetes n’est pas configur correctement, des acteurs distants peuvent avoir accs des ressources internes et des actifs privs qui ne sont pas censs tre rendus publics.
De plus, en fonction de la configuration, les intrus peuvent parfois lever leurs privilges partir des conteneurs pour rompre l’isolation et passer aux processus htes, ce qui leur donne un accs initial aux rseaux internes de l’entreprise pour des attaques ultrieures.
Trouver des Kubernetes exposs
Les chercheurs de Cyble ont men un exercice visant localiser les instances Kubernetes exposes sur Internet, en utilisant des outils d’analyse et des requtes de recherche similaires ceux employs par les acteurs malveillants.
Les rsultats montrent qu’il existe 900 000 serveurs Kubernetes, dont 65 % (585 000) sont situs aux tats-Unis, 14 % en Chine, 9 % en Allemagne, 6 % aux Pays-Bas et 6 % en Irlande.
Parmi les serveurs exposs, les ports TCP les plus exposs taient « 443 », avec un peu plus d’un million d’instances, « 10250 » comptant 231, 200, et « 6443 » avec 84 400 rsultats.
Il est essentiel de souligner que tous ces clusters exposs ne sont pas exploitables, et mme parmi ceux qui le sont, le niveau de risque varie en fonction de la configuration individuelle.
Cas haut risque
Pour valuer combien d’instances exposes pourraient prsenter un risque important, Cyble a examin les codes d’erreur renvoys aux requtes non authentifies l’API Kubelet.
La grande majorit des instances exposes renvoient le code d’erreur 403, ce qui signifie que la demande non authentifie est interdite et ne peut pas aboutir, de sorte qu’aucune attaque ne peut tre lance contre elles.
Il existe ensuite un sous-ensemble d’environ cinq mille instances qui rpondent par le code d’erreur 401, indiquant que la demande n’est pas autorise.
Cependant, cette rponse donne un attaquant potentiel un indice que le cluster fonctionne, et il pourrait essayer des attaques supplmentaires bases sur des exploits et des vulnrabilits.
Enfin, il y a un petit sous-ensemble de 799 instances Kubernetes qui renvoient un code d’tat 200, qui sont compltement exposes aux attaquants externes.
Dans ces cas, les acteurs de la menace peuvent accder aux nuds sur le tableau de bord Kubernetes sans mot de passe, accder tous les secrets, effectuer des actions, etc.
Si le nombre de serveurs Kubernetes vulnrables est assez faible, il suffit qu’une vulnrabilit exploitable distance soit dcouverte pour qu’un nombre bien plus important de dispositifs deviennent vulnrables aux attaques.
Pour vous assurer que votre cluster ne fait pas partie de ces 799, ou mme de l’ensemble moins gravement expos des 5 000 instances, consultez les conseils de la NSA et du CISA sur le renforcement de la scurit de votre systme Kubernetes.
Obtenir une image claire
Le mois dernier, la Fondation Shadowserver a publi un rapport sur les instances Kubernetes exposes dans lequel elle a dcouvert 381 645 adresses IP uniques rpondant avec un code d’erreur HTTP 200.
Cyble a dclar que la raison de cet cart important est qu’ils ont utilis des scanners open-source et des requtes simples qui seraient la disposition de n’importe quel acteur de la menace, alors que Shadowserver a scann l’ensemble de l’espace IPv4 et surveill les nouveaux ajouts quotidiennement.
« Les statistiques fournies dans le blog de Kubernetes qui sont publies de notre ct sont bases sur les scanners open-source et les requtes disponibles pour le produit. Comme indiqu dans le blog, nous avons effectu des recherches sur la base des requtes « Kubernetes », « Kubernetes-master », « KubernetesDashboard », « K8 », et des hashs de favicon avec les codes de statut 200, 403 et 401« , explique Cyble.
Le Shadowserver adopte une approche diffrente pour trouver l’exposition, comme l’indique son blog sur Kubernetes : « Nous effectuons un scan quotidien avec une requte HTTP GET utilisant l’URI /version. Nous analysons tout l’espace IPv4 sur les ports 6443 et 443. Nous n’incluons que les serveurs Kubernetes qui rpondent avec un 200 OK (avec une rponse JSON d’accompagnement), et donc qui divulguent des informations de version dans leur rponse.’ «
« Comme nous ne scannons pas l’espace IPv4 complet comme le serveur fantme et que nous nous appuyons sur l’intel qui se trouve dans l’open-source, les rsultats que nous obtenons sont diffrents de ceux de Shadowserver. »
Alors que les chiffres de Cyble ne sont peut-tre pas aussi impressionnants, ils sont trs importants du point de vue que ces chiffres correspondent des clusters Kubernetes qui sont trs faciles localiser et attaquer.
Source : Cyble
Et vous ?
Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
Voir aussi :