Se detectaron clústeres de Kubernetes pertenecientes a más de 350 empresas como abiertamente accesibles y desprotegidos. Más de la mitad de ellos se vieron comprometidos mediante malware o puertas traseras. Esto es lo que revela Los hallazgos de Aqua Security tras una investigación de tres meses llevada a cabo por su equipo de investigación, Nautilus. La mayoría de las empresas afectadas son pequeñas o medianas, pero otras pertenecen a Fortune 500. Dos errores de configuración están en el origen de estos incidentes de seguridad: uno permite el acceso anónimo con privilegios y el otro expone los clústeres de Kubernetes a Internet.

Kubernetes es un sistema de orquestación de código abierto que aprovecha los contenedores para automatizar la implementación, el escalado y la gestión de aplicaciones, normalmente en un entorno de nube. Con el tiempo, se ha convertido en el sistema operativo de facto de la nube, pero también puede presentar importantes riesgos y desafíos de seguridad para las empresas. Informe de seguridad sobre el estado de Kubernetes 2023 de Red Hat se basa en las respuestas de 600 profesionales de DevOps, ingeniería y seguridad a nivel mundial para conocer los desafíos de seguridad más comunes que enfrentan las empresas al adoptar la nube nativa. De los encuestados, el 38 % citó la seguridad como una de las principales preocupaciones en las estrategias de contenedores y Kubernetes, el 67 % retrasó o ralentizó la implementación debido a preocupaciones de seguridad en este entorno y el 37 % experimentó una pérdida de ingresos o de clientes debido a un incidente de seguridad relacionado.

Índice
  1. Más de 350 servidores API susceptibles de ser explotados
  2. Dos errores de configuración comunes explotados en la naturaleza

Más de 350 servidores API susceptibles de ser explotados

Durante un período de tres meses, los investigadores han identificado más de 350 servidores API susceptibles de ser explotados por atacantes. Al analizar los hosts recién descubiertos, el equipo descubrió que el 72% de ellos tenían los puertos 443 y 6443 expuestos (estos son los puertos HTTPS predeterminados). También encontró que el 19% de los hosts usaban puertos HTTP como 8001 y 8080, mientras que el resto usaba puertos menos comunes (por ejemplo, 9999). “La distribución de hosts reveló que, si bien la mayoría (85%) tenía entre 1 y 3 nodos, algunos albergaban entre 20 y 30 nodos dentro de sus clústeres de Kubernetes. Un mayor número de nodos podría indicar empresas más grandes o grupos más grandes”, escriben los investigadores. En cuanto a la distribución geográfica, la mayoría de los servidores estaban geolocalizados en América del Norte, con una presencia sustancial de AWS cercana al 80%. Por el contrario, los proveedores chinos de nube representaron alrededor del 17% de los servidores.

Los investigadores descubrieron que alrededor del 60% de los clusters fueron atacados activamente por criptomineros. El equipo creó un entorno de trampa para recopilar datos adicionales sobre estos ataques y arrojar luz sobre las campañas en curso. Entre los hallazgos clave, Nautilus descubrió la recientemente informada y altamente agresiva campaña Silentbob que revela el resurgimiento de TeamTNT dirigido a clústeres de Kubernetes. Los investigadores también descubrieron una campaña de eliminación de control de acceso basado en roles (RBAC) destinada a crear una puerta trasera oculta, así como campañas de criptominería, incluida una ejecución más amplia de la campaña Dero previamente revelada, con imágenes de contenedores adicionales que tuvieron varios cientos de miles de extracciones.

Dos errores de configuración comunes explotados en la naturaleza

La investigación destacó dos errores de configuración comunes, ampliamente practicados por las organizaciones y explotados activamente en la naturaleza. El primero otorga acceso anónimo con privilegios, y un usuario anónimo no autenticado pasa por una única fase de autorización. "De forma predeterminada, el usuario anónimo no tiene permisos, pero hemos visto a este practicante en la naturaleza y, en algunos casos, otorgando privilegios al usuario anónimo", escribieron. Mezclar todos estos elementos crea un grave error de configuración. "Hemos visto casos en los que los profesionales vinculan el rol de usuario anónimo con otros roles, a menudo roles de administrador, lo que pone en riesgo sus clústeres", según los investigadores. Una combinación de estas configuraciones erróneas puede permitir a los atacantes obtener acceso no autorizado al clúster de Kubernetes, comprometiendo potencialmente cualquier aplicación que se ejecute allí, así como otros entornos.

El segundo problema es la mala configuración del proxy kubectl que, sin saberlo, expone el clúster de Kubernetes a Internet, dijeron los investigadores. Los anfitriones afectados incluyen empresas de diversas industrias, como la de servicios financieros, aeroespacial, automotriz, industrial y de seguridad. “Cuando ejecuta el mismo comando con los siguientes indicadores '-address=`0.0.0.0` -accept-hosts `.*`', el proxy en su estación de trabajo escuchará y reenviará solicitudes autorizadas y autenticadas al servidor API desde cualquier host con acceso HTTP a la estación de trabajo. Tenga en cuenta que los privilegios son los mismos que los del usuario que ejecutó el comando proxy kubectl.