翻译: SEAL安全

原标题:

Over 900,000 Kubernetes instances found exposed online

原文链接:

https://www.bleepingcomputer.com/news/security/over-900-000-kubernetes-instances-found-exposed-online/

据 Beepingcomputer 消息,超过90万个配置错误的 Kuberenetes 集群被发现暴露在互联网上,可能会受到潜在的恶意扫描,有些甚至容易受到数据暴露所带来的网络攻击。

Kubernetes 是一个被业界广泛采用的开源容器编排引擎,用于托管在线服务并通过统一的 API 接口管理容器化工作负载。

由于其可扩展性、在多云环境中的灵活性、可移植性、成本、应用开发和系统部署时间的减少,它被企业广为采用并且在近几年内快速增长。

然而,如果 Kubernetes 配置不当,远程攻击者可能会利用错误配置访问内部资源和私有资产,而这些资源和资产本来是不应该公开的。

此外,根据配置入侵者有时可以在容器中升级他们的权限,以打破隔离并转向主机进程,从而使他们能够初步进入企业 内部网络以进行进一步的攻击。

查找暴露的 Kubernetes

Cyble 的研究人员进行了一次演习,使用类似于恶意行为者使用的扫描工具和搜索查询,在网络上查找暴露的 Kubernetes 实例。

结果显示, 能发现90万台 Kubernetes服务器,其中65%(58.5万台)位于美国,14%在中国,9%在德国,而荷兰和爱尔兰各占6%。

在暴露的服务器中,暴露最多的TCP端口是 “443”,有超过一百万个实例,端口“10250”的数量为231,200,而 “6443”端口有84,400个结果。

必须强调的是,并非所有这些暴露的集群都是可利用的。 退一万步来说,即使在那些可利用的集群中,其风险程度也因具体配置而异。

高风险的情况

为了评估有多少暴露的实例可能存在重大风险,Cyble 研究了对 Kubelet API 的未经认证的请求所返回的错误代码。

绝大多数暴露的实例返回错误代码403,这意味着未经认证的请求被禁止,无法通过,所以不能对它们进行攻击。

然后有一个包含大约5000个实例的子集,返回错误代码401,表示该请求未经授权。

然而,这个响应给了潜在的攻击者一个提示,即此集群正在运行,因此他们可以利用漏洞尝试其他攻击。

最后,有一个包含799个 Kubernetes 实例的子集返回状态码为 200,这意味着这些实例完全暴露给外部攻击者。

在这些情况下,攻击者无需密码即可访问 Kubernetes Dashboard 上的节点、访问所有 Secret、执行操作等。

虽然易受攻击的 Kubernetes 服务器的数量相当少,但只需要发现一个可远程利用的漏洞,就会有更多的设备容易受到攻击。

为了确保你的集群不在这799个实例中,甚至不在暴露程度较低的5000个实例中,请参考 NSA 和 CISA 关于加固Kubernetes系统安全的指南:

https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/

掌握安全状况

上个月,Shadowserver 基金会发布了一份关于暴露的 Kubernetes 实例的报告,他们发现了38万个唯一IP响应了 HTTP 错误代码200。

Cyble 告诉 BleepingComputer,造成这种巨大差异的原因是,他们使用了开源扫描器和简单查询,这是任何威胁者都可以使用的。 而 Shadowserver 则扫描了整个IPv4空间,并每天监测新增内容。

“我们最终发布的 Kubernetes 博客中提供的统计数据是基于开源扫描器和产品可用的查询。 正如博客中提到的,我们根据查询 ‘Kubernetes’、‘Kubernetes-master’、‘KubernetesDashboard’、‘K8’ 和 favicon hashes 以及状态代码200、403和401进行了搜索。 ”Cyble解释说。

“据他们的博客内容显示,Shadowserver 采取了一种不同的方法来查找暴露情况,‘我们每天使用 /version URI的HTTP GET请求进行扫描。 扫描6443和443端口的所有IPv4空间,并且只包括响应 200 OK(附带JSON响应)的Kubernetes服务器,因此在其响应中披露版本信息。 ’”

“由于我们不像 Shadowserver 那样扫描完整的IPv4空间,而是依靠开源工具提供的情报,所以我们得到的结果与 Shadowserver 不同。 ”

虽然 Cyble 的数据可能没有那么令人印象深刻,但从这些数据背后的 Kubernetes 集群容易定位和攻击的角度来看,它们非常重要。

超90万个K8S实例可被发现暴露在公网上,14%位于中国的更多相关文章

  1. 【转帖】5G基站建设下的“中国速度”:北上广深领跑全国,均超1万个

    5G基站建设下的“中国速度”:北上广深领跑全国,均超1万个 https://www.laoyaoba.com/html/news/newsdetail?source=pc&news_id=73 ...

  2. Client病毒已感染超7万人 暗扣费并频弹广告

    恶意木马病毒横行,您的钱包还hold得住吗?猎豹移动安全实验室与安天AVL移动安全团队于2015年下半年,共同截获一款名为Client的木马病毒,并且对该病毒进行持续监测.通过进一步关注,我们发现该病 ...

  3. Java 字符串拼接 五种方法的性能比较分析 从执行100次到90万次

    [请尊重原创版权,如需引用,请注明来源及地址] > 字符串拼接一般使用“+”,但是“+”不能满足大批量数据的处理,Java中有以下五种方法处理字符串拼接,各有优缺点,程序开发应选择合适的方法实现 ...

  4. A股暴跌三日市值蒸发4.2万亿 股民人均浮亏超2万

    A股暴跌三日市值蒸发4.2万亿 股民人均浮亏超2万 http://finance.qq.com/a/20150508/010324.htm?pgv_ref=aio2015&ptlang=205 ...

  5. 主要看思路:区域数据去重 + JavaScript一次性展示几万条数据实例代码

    近期做1功能,Gis地图 基于百度地图api , 会遇到的问题的, 如后台接口给的数据很多,大几千上万的,如果拿了数据直接渲染dom ,这滋味爽爽的. 再遇上 客户端浏览器悲催的,这卡顿就来了... ...

  6. [转帖]龙芯3A/3B3000通用处理器出货超30万 获得“中国芯”大奖

    龙芯3A/3B3000通用处理器出货超30万 获得“中国芯”大奖 http://www.eetop.cn/cpu_soc/6946247.html 2019.10 的新闻 出后量 30万 我们贡献了 ...

  7. [转帖]黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器

    黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器 https://www.cnbeta.com/articles/tech/852141.htm 病毒 ...

  8. 万级K8s集群背后etcd稳定性及性能优化实践

    背景与挑战 随着腾讯自研上云及公有云用户的迅速增长,一方面,腾讯云容器服务TKE服务数量和核数大幅增长, 另一方面我们提供的容器服务类型(TKE托管及独立集群.EKS弹性集群.edge边缘计算集群.m ...

  9. 万级K8s集群背后 etcd 稳定性及性能优化实践

    1背景与挑战随着腾讯自研上云及公有云用户的迅速增长,一方面,腾讯云容器服务TKE服务数量和核数大幅增长, 另一方面我们提供的容器服务类型(TKE托管及独立集群.EKS弹性集群.edge边缘计算集群.m ...

  10. K8s集群安装--最新版 Kubernetes 1.14.1

    K8s集群安装--最新版 Kubernetes 1.14.1 前言 网上有很多关于k8s安装的文章,但是我参照一些文章安装时碰到了不少坑.今天终于安装好了,故将一些关键点写下来与大家共享. 我安装是基 ...

随机推荐

  1. js执行过程之上下文对象(Context)

    在js的学习中,我们已经不满足于仅了解js的基础知识,而是开始追求更深层次的学习.因为你会发现,仅了解js的基础知识,在开发项目的过程中是远远不够的.今天就来介绍一下在js执行过程中的一些相关内容了. ...

  2. Go 接口:nil接口为什么不等于nil?

    Go 接口:nil接口为什么不等于nil? 本文主要内容:深入了解接口类型的运行时表示层. 目录 Go 接口:nil接口为什么不等于nil? 一.Go 接口的地位 二.接口的静态特性与动态特性 2.1 ...

  3. GitHub Actions 入门指南

    前言 GitHub Actions 可以构建一组自动化的工作流程,并提供了拉取请求.合并分支等事件来触发他们.一般成熟的开源项目会在每个版本发布时提供 releases ,它就是通过 Actions ...

  4. Kafka 如何保证消息消费的全局顺序性

    哈喽大家好,我是咸鱼 今天我们继续来讲一讲 Kafka 当有消息被生产出来的时候,如果没有指定分区或者指定 key ,那么消费会按照[轮询]的方式均匀地分配到所有可用分区中,但不一定按照分区顺序来分配 ...

  5. IDEA:自动生成方法注释并添加 @param 参数(Java+Kotlin)

    在用 Java 或 Kotlin 编写方法时建议编写完善的注释,包含每个参数的意义和返回的内容,下面介绍在 IDEA 中自动生成方法注释的技巧. 第二张图按照图片填写就好了 ③(注意是*不是/*) * ...

  6. [GDOIpj221C] 流水线

    第三题 流水线 提交文件: line.cpp 输入文件: line.in 输出文件: line.out 时间空间限制: 2 秒, 256 MB 在计算机组成原理这门课中,小明的老师布置了实现 CPU ...

  7. [ABC281F] Xor Minimization

    div class="part"> Problem Statement You are given a sequence of non-negative integers $ ...

  8. bash shell笔记整理——less命令

    less命令的作用 less和cat.more最大的差别在于不会一次性加载整个文件,速度比较快!另外less具备翻页功能,可以向上/向下翻页! 语法 less [选项] [文件名] *选项* *使用说 ...

  9. 自定义开发odoo14的统计在线用户人数

    在 Odoo 14 中统计在线人数通常涉及到定制开发或者使用特定的模块. 自定义开发:如果没有现成的模块,您可能需要进行一些自定义开发.这通常涉及到扩展Odoo的用户模型,以跟踪用户的登录和登出活动. ...

  10. GPT-4多模态大型语言模型发布

    GPT-4 模型是OpenAI开发的第四代大型语言模型(LLM),它将是一个多模态模型,会提供完全不同的可能性-例如文字转图像.音乐甚至视频.GPT 全称为 Generative Pre-traine ...