安全是有分量的

免备案高防cdn_服务器防护盾_限时优惠

2022-01-12 07:50栏目:资讯

免备案高防cdn_服务器防护盾_限时优惠

Kubernetes是用于构建、部署和管理可伸缩微服务的最常用的容器编排框架之一。我不会解释它是如何工作的,因为这篇文章的目的不是描述如何使用它,而是更准确地解释为什么它在没有适当保护的情况下可能会对您的组织(和其他组织)构成威胁。

Kubernetes由多个元素组成,这些元素在主组件和节点组件之间分割(参见https://kubernetes.io/docs/concepts/overview/components/ 对于更多)。这篇文章最有趣的部分是kubelet(https://kubernetes.io/docs/reference/command-line-tools-reference/kubelet/). 它是在作为集群一部分的每个节点上运行的代理服务,负责确保部署在节点上的每个指定容器都正常运行。Kubelet公开了一个restapi,允许其他节点管理集群,它监听TCP/10250,并且可以使用HTTPS访问。有趣的是,默认情况下不启用授权或身份验证,任何可以访问主机(例如从internet)的人都可以与主机通信。软件的最新版本已修复此问题。不过,似乎并不是每个人都在更新。

这个漏洞并不是新的,在过去已经被报告过好几次(见下面的一些参考资料)。有趣的是,任何人不仅可以通过这个API检索正在运行的集群上的信息(运行pod、容器信息、统计信息和度量),而且还可以与节点上运行的任何容器进行交互。从容器中检索到的令牌和信息可能会导致整个集群的升级和破坏。

在IPv4上,有多少开放的端点是可以访问的?我们首先运行一个端口扫描来识别在IPv4上打开的所有TCP/10250端口。有超过250万台主机的TCP/10250端口是开放的,但是,这并不意味着每个主机都有一个kubelet在监听它。因此,我们使用scannerl启动了指纹扫描,防御cc虚拟主机,以确定哪些是kubelet服务。

我们确定总共有31k个kubelet服务可用。在这1495个端点中,有易受攻击的端点,服务器ddos防御怎么弄,即允许任何人查询并向容器发送命令的服务。好吧,你可能会认为1495并不多(它只占所有可到达库贝莱的5%左右),但是,只有一个就足以让恶意用户使用并可能创建他们自己的小僵尸网络。

kubelet漏洞页面介绍了一些解决方法,云盾网安DDoS云防御,介绍如何快速保护这些端点:https://github.com/kayrus/kubelet-exploit#possible-解决方法。一个更好的解决方案是更新Kubernetes和正确防火墙服务。

美国和高防有最多的易受攻击的kubernet服务。美国占所有易受攻击的端点的38%。

可以访问这些端点的ISP也很有趣。毫不奇怪,带cc防御空间,提供托管Kubernetes服务的大型云服务提供商(亚马逊、DigitalOcean、谷歌、微软等)位列前十。

如果您正在使用Kubernetes测试微服务或使用它运行生产服务,确保有一个最近更新的版本,安全狗2016无法防御cc攻击,是充分防火墙。

感谢我的同事贝诺特Knecht和弗朗索瓦Deppierraz的帮助。

参考:

https://github.com/kayrus/kubelet-exploithttps://kromtech.com/blog/security-center/cryptojacking-invades-cloud-how-modern-containerization-trend-is-exploited-by-attackershttps://medium.com/handy-tech/analysis-of-a-kubernetes-hack-backdooring-through-kubelet-823be5c3d67chttps://blog.rapid7.com/2018/06/27/analyzing-the-kubernetes-hack-backdooring-through-the-kubelet-api/https://raesene.github.io/blog/2016/10/08/Kubernetes-From-Container-To-Cluster/https://github.com/kubernetes/kubernetes/blob/master/pkg/kubelet/server/server.go

分享:点击打印(在新窗口中打开)点击给朋友发邮件(在新窗口中打开)点击在LinkedIn上分享(在新窗口中打开)点击在Twitter上分享(在新窗口中打开)点击在Reddit上分享(在新窗口中打开)相关的容器安全2017年10月18日"Concordium区块链的"网络安全"代码评估2021年6月4日"区块链"ZigBee安全:基础(第2部分)"设备安全"2017年11月8日