Kubernetes kümeleri, İnternet’e yönelik birçok modern uygulamaya ölçeklenebilir ve esnek bir omurga sağlar. Ancak, düşmanlar bu kümelerdeki düğümlere erişebilirse, esasen altyapınızı ele geçirirler. Sistemlerinizin bütünlüğünü tehlikeye atabilir ve altyapıyı ele geçirip kendi amaçları için kullanabilirler.
Shodan’dan alınan son veriler, herkese açık olarak gösterilen 243.469 Kubernetes kümesini göstermektedir. Bu kümeler ayrıca kubelet (her düğümde çalışan ve tüm kapsayıcıların bir bölmede çalışmasını sağlayan aracı) tarafından kullanılan 10250 numaralı bağlantı noktasını varsayılan ayar olarak ortaya çıkardı. Saldırganlar, kubelet API’sini, kripto para birimi için madencilik yapmak üzere Kubernetes kümelerini hedeflemede bir giriş noktası olarak kullanabilir.
Trend Micro araştırmacısı Magno Logan siber suçluların bu kümeleri nasıl kötüye kullanabileceğini ve kubelet bağlantı noktalarını nasıl açığa çıkarabileceğini inceledi.
İlk olarak, düğümde çalışan bölmelerdeki verileri döndürerek hassas bilgi sızıntısı sorunu vardır.
Ayrıca kubelet API açığa çıktığı için başka bir uç nokta daha vardır. /koşmak bu, bir saldırganın yalnızca bir İLETİ belirli bölmelere istekte bulunma ve parametreyi kullanma cmd İstenen kabuk komutlarını yürütmek için. Trend Micro diyor ki tehdit aktörü TeamTNT birden fazla gerçekleştirildi /koşmak geçen yıl birden çok kümeden ödün vermek için tam da bu şekilde komut veriyor. Logan raporda, bu tekniğin saldırganların kümeleri ele geçirmesini kolaylaştırabileceğini söylüyor.
Logan, bilgisayar korsanlarının Kubernetes kümelerini hedeflerken kubelet API’sini bir giriş noktası olarak kullanabilmesini “çok endişe verici” olarak nitelendirdi.
“Tamamen açıkta olduğunu ve kimlik doğrulama veya yetkilendirme olmadan bulduğumuz bu 600 kubelet, basit API istekleri yoluyla kolayca ele geçirilebilir” dedi. “Bu, bir saldırganın çoğu zaman kripto para madenciliği yapmak için o düğümün içinde çalışan bölmelerde komutlar yürütmesine izin verir.”
Maruz Kalan Kubeletler Kötü Amaçlı Aktörlere Kapıyı Açık Bırakıyor
Sysdig’in siber güvenlik stratejisi direktörü Michael Isbitski’ye göre, Kubernetes kümeleri veya kubelet’leri uygunsuz bir şekilde ifşa edildiğinde veya uygun erişim kontrolünü uygulamadığında, çok çeşitli kötü niyetli faaliyetlere kapı açıyor.
“Saldırganlar, küme içinde iletilen hassas verileri potansiyel olarak toplayabilir, yeni iş yüklerini hızlandırabilir, bir düğümün öğelerini yeniden yapılandırabilir, erişim kontrollerini devre dışı bırakabilir, denetim izlerini silebilir, savunmasız bağımlılıklar ekleyebilir, kötü niyetli kripto madencilerini önyükleyebilir ve daha fazlasını yapabilir” diyor.
Isbitski, birçok Kubernetes yapılandırmasının mevcut platform teklifleriyle varsayılan olarak güvenli olduğunu, ancak bazı kuruluşların eski veya yanlış yapılandırılmış dağıtımlarda oturuyor olabileceğini belirtiyor.
Ayrıca kuruluşların potansiyel güvenlik risklerini anlamadan bir kümeyi çalışır duruma getirmek için bazen istemeden güvenli varsayılanları geçersiz kıldığını da belirtiyor.
“Çalışma zamanı bileşenlerinde, saldırganlar istismar girişimlerinde başarılı olursa, konteyner kaçışlarına ve ağlar içinde yanal hareketlere neden olabilecek güvenlik açıklarıyla ilgili sorunlar gördük” diyor.
Derinlemesine Savunma Uygulaması, Sıfır Güven
Kapsayıcılar, Kubernetes ve bulut için bir güvenlik ve gözlemlenebilirlik sağlayıcısı olan Tigera’nın yazılım mühendisliği direktörü Matt Dupre, kubelet’e yeterince ayrıcalıklı erişimin, o ana bilgisayarın ve potansiyel olarak üzerinde çalışan diğer tüm iş yüklerinin tamamen tehlikeye atılması anlamına geldiğine dikkat çekiyor.
Kubernetes API’ye erişim aynı potansiyel etkiye sahiptir: Yönetici erişimi, temel olarak kümenin ve içindeki her şeyin tam kontrolünü sağlar.
Güvenlik riski önemli olsa da, İnternet’ten bağlantı kabul eden kümelerin ezici bir çoğunluğunun, kimlik doğrulama veya yetkilendirme eksikliği nedeniyle istekleri reddettiğini belirtiyor.
Dupre, “Buna göre, iki endişe var: birincisi, yanlış yapılandırılmış 613 kümeye düştüğünüz veya authn veya authz’yi atlayan yeni bir kritik güvenlik açığı bulunduğu ve bu çok önemli bir güvenlik açığı olacaktır” diyor. “Kuruluşların dahili API’leri muhtemelen uygulamada daha büyük bir endişe kaynağı.”
Sıfır güven ilkelerini izleyerek ve internet gibi bilinmeyen kaynaklardan kubelet’lerinize bağlantılara izin vermeyerek derinlemesine savunma yapmanızı önerir.
“Ayrıca, altyapınızı port taraması yapabilir ve tüm yanıtları araştırabilirsiniz” diye ekliyor. “Erişim belirteçlerinin dikkatli bir şekilde kontrol altında tutulması her zaman önemlidir – bunlar asla yayınlanmamalıdır ve bunların ve diğer sırların düzgün bir şekilde saklanmasını sağlamak için süreçlere sahip olmalısınız.”
Kubelet Varsayılan Bağlantı Noktasını Göstermekten Kaçının
Temel bir kubelet güvenlik uygulaması olarak Logan, kuruluşların kubelet bağlantı noktalarını (varsayılan olarak 10250) İnternet’e maruz bırakmamaları gerektiğini söylüyor.
“Bunu yapmanız gerekiyorsa, saldırganların API’ye istekte bulunmasını ve 401 – Yetkisiz yanıtı almasını önlemek için en azından kubelet API’sinde kubelet kimlik doğrulamasını ve yetkilendirmeyi etkinleştirin” diye ekliyor.
Bir uygulama güvenliği sağlayıcısı olan ArmorCode’un ürün başkan yardımcısı Mark Lambert, bu tür sistemleri dağıtırken “sıfır güven zihniyeti” alın ve varsayılan yapılandırmaların genellikle güvenlik için değil kullanım kolaylığı için ayarlandığını unutmayın.
“Bu, yapılandırma dosyalarına çok dikkat etmeniz, kullanmadığınız özellikleri devre dışı bırakmanız, varsayılan bağlantı noktalarını değiştirmeniz ve bilgisayar korsanlarının kendilerine başka bir saldırı noktası sağlayabilecek içgörü elde edememeleri için bilgi sızıntısını en aza indirmeniz gerektiği anlamına gelir” diyor.
Son olarak, tüm bunların uygulama güvenlik programınızın bir parçası olarak işlevsel hale getirilmesi gerekir ve geliştirme ekipleri, güvenliğin baştan itibaren uygulamanın tasarımına dahil edilmesinde önemli bir rol oynadıkları için erkenden devreye alınmalıdır.
Logan, kubelet API üzerinde kubelet kimlik doğrulaması ve yetkilendirmeyi etkinleştirmenin yanı sıra, kubelet izinlerinin en az ayrıcalık ilkesi ile sınırlandırılmasını ve saldırı yüzeyini azaltmak için kubelet sertifikalarının periyodik olarak döndürülmesini tavsiye ediyor.
“Kuruluşlar, konteynerlerinin içinde şüpheli bir yürütme meydana geldiğinde bunları önlemek ve uyarmak için Falco gibi çalışma zamanı korumasına yönelik araçları da araştırmalıdır” diyor.
IaaC’yi Sürekli Analiz Edin, Çalışma Zamanında Kümeleri İzleyin
Isbitski, bulut sağlayıcılarından ve Kubernetes platform sağlayıcılarından gelen yerel yetenekler ve araçların kubelet’leri korumak için bir başlangıç noktası sağlayabileceğini söylüyor.
Güvenlik ekiplerinin kümeleri yapılandırmak ve çalıştırmak, iş yükleri tarafından kullanılan bağımlılıkları taramak ve bir saldırganın Kubernetes API’lerine yetkisiz erişim girişimi gibi kötü amaçlı etkinlikleri algılamak için çalışma zamanında kümeleri izlemek için kullanılan kod olarak altyapıyı sürekli olarak analiz etmesi gerektiğini ekliyor.
“Bir kümenin birden çok noktasında uygun erişim denetimi de uygulanmalıdır” diyor. “Kubernetes ağ ilkesi gibi yerel yetenekler ayrıca bir küme içindeki iletişimi kısıtlamaya ve sıfır güven ilkelerini uygulamaya yardımcı olur.”
Isbitski, yönetilen Kubernetes ile çalışırken Kubernetes kontrol düzleminin de çok katmanlı olduğuna dikkat çekiyor.
Bu senaryolarda, güvenlik ekipleri, yanlış yapılandırmalar ve aşırı izinler için IAM ilkeleriyle birlikte bulut kiracısı yapılandırmalarını da sürekli olarak doğrulamalıdır.