Los clústeres de Kubernetes (K8s) vulnerables están siendo explotados por actores maliciosos para implementar mineros de criptomonedas y otras backdoors.
La firma de seguridad en la nube Aqua, en un informe, dijo que la mayoría de los clústeres pertenecían a organizaciones pequeñas y medianas, con un subconjunto más pequeño vinculado a compañías más grandes, que abarcan los sectores financiero, aeroespacial, automotriz, industrial y de seguridad.
En total, se descubrieron clústeres de Kubernetes pertenecientes a más de 350 organizaciones, proyectos de código abierto, el 60% de los cuales fueron el objetivo de una campaña activa de criptominería.
Se dice que los clústeres de acceso público, según Aqua, sufren de dos tipos diferentes de configuraciones erróneas: permitir el acceso anónimo con altos privilegios y ejecutar kubectl proxy con las flags “–address=’0.0.0.0′ –accept-hosts ‘.*'”
“Al albergar una amplia gama de activos sensibles y valiosos, los clústeres de Kubernetes pueden almacenar datos de clientes, registros financieros, propiedad intelectual, credenciales de acceso, secretos, configuraciones, imágenes de contenedores, credenciales de infraestructura, claves de cifrado, certificados e información de red o servicio”, dijeron los investigadores de seguridad Michael Katchinskiy y Assaf Morag.
Entre los clústeres K8s expuestos se encuentran listas de pods que contienen variables de entorno sensibles y claves de acceso que podrían ser explotadas por malos actores para profundizar en el entorno de destino, acceder a repositorios de código fuente y, lo que es peor, introducir modificaciones maliciosas si es posible.
Un examen más detallado de los clústeres ha revelado tres campañas diferentes en curso destinadas a la minería de criptomonedas, incluida una operación de cryptojacking Dero, RBAC Buster y Silentbob de TeamTNT.
“A pesar de las graves implicaciones de seguridad, tales configuraciones erróneas prevalecen en todas las organizaciones, independientemente de su tamaño, lo que indica una brecha en la comprensión y gestión de la seguridad de Kubernetes”, dijeron los investigadores.
