Posté le août 4, 2021 à 12:30
DES CHERCHEURS RÉVÈLENT UNE NOUVELLE VAGUE D’ATTAQUES QUI CIBLENT KUBERNETES
Des chercheurs en sécurité ont signalé une nouvelle vague d’attaques qui plantent des logiciels malveillants de minage de cryptomonnaies en utilisant Kubernetes. Selon les rapports sur le logiciel malveillant, celui-ci exploite une mauvaise configuration d’un moteur de flux de travail open-source pour Kubernetes connu sous le nom de Argo Workflow.
Selon les chercheurs, il existe des centaines d’instances d’Argo Workflows et des acteurs malveillants en abusent actuellement.
Suite à cette découverte, la NSA (National Security Agency) a publié une ligne directrice pour une navigation sûre. Selon l’agence, ces directives permettront aux organisations de déployer la plateforme open-source pour gérer les applications conteneurisées.
Outre la NSA, l’Agence pour la cybersécurité et les infrastructures (CISA) est également l’auteur de ce guide, qui vise à aider les utilisateurs à comprendre les configurations et les principales menaces afin de réduire les risques.
La NSA et la CISA publient des directives communes
Dans une déclaration commune, les agences expliquent que Kubernetes est généralement ciblé pour trois raisons principales : le déni de service, le vol de puissance de calcul ou le vol de données.
« Le vol de données est traditionnellement la principale motivation », ajoutent les agences. Mais les acteurs malveillants tentent parfois d’utiliser Kubernetes pour connecter l’infrastructure d’un réseau afin de gagner en puissance de calcul, notamment pour le minage de cryptomonnaies.
Et les chercheurs d’Intezer préviennent que les acteurs malveillants profitent de flux de travail Kubernetes mal configurés sur le matériel d’entreprise.
Cependant, les chercheurs en sécurité ont révélé que les principales directives de durcissement ne sont pas rares. D’après les rapports, les organisations peuvent appliquer des mesures d’atténuation de sécurité standard même dans des environnements complexes généralement déployés dans le cloud.
La directive comprend également des pods de détection des erreurs de configuration ou des vulnérabilités, ainsi que l’analyse des conteneurs. Il propose également des pods avec des privilèges moindres, des conteneurs en cours d’exécution, des méthodes d’authentification forte, des protections de pare-feu, ainsi que l’audit des journaux.
En outre, le guide propose des nœuds de travail, le panneau de contrôle, des clusters Kubernetes, ainsi que des pods pour les conteneurs hébergés sur les nœuds.
Le conteneur kannix/monero-miner également déployé
Les chercheurs ont également déclaré avoir découvert qu’un conteneur kannix/monero-miner, un conteneur de minage de crypto-monnaie très connu, était déployé. Ce conteneur est populaire pour son utilisation dans le minage de la cryptomonnaie Monero.
Bien que le conteneur ait été supprimé de Docker-hub, comme l’ont noté les chercheurs, le référentiel répertorie encore jusqu’à 45 autres conteneurs de minage de cryptomonnaie qui ont déjà été téléchargés par millions.
Les chercheurs ont déclaré avoir également découvert des nœuds infectés et les centaines de déploiements mal configurés signifient que d’autres attaques sont plus susceptibles de se produire. Certaines des instances exposées sont utilisées par des organisations de différents secteurs, notamment la logistique et la finance, a noté le chercheur.
Conseils pour l’atténuation des risques
La CISA et la NSA ont également publié des conseils sur le risque lié à la chaîne d’approvisionnement, qui comprend les dépendances matérielles et logicielles susceptibles d’être infiltrées et utilisées dans la chaîne d’approvisionnement avant leur déploiement.
Le rapport conjoint note que tant les applications de sécurité que les logiciels tiers qui dépendent de leurs fonctionnalités dépendent de la défense de l’infrastructure de développement et de la fiabilité des développeurs. Par conséquent, une application malveillante d’un conteneur d’une tierce partie peut être tout ce dont les cyberacteurs ont besoin pour avoir une place forte dans le cluster.
Les agences ont également noté que les auteurs de la menace attaquent souvent les applications du volet de contrôle qui ne disposent pas des bons contrôles d’accès. Ils attaquent également les nœuds de travail qui ne résident pas dans le plan de contrôle verrouillé.
En outre, il existe également des menaces à l’intérieur, notamment des superviseurs ou des administrateurs ayant un accès physique et des privilèges élevés.
Les agences ont réaffirmé que les pods doivent être renforcés contre l’exploitation, car ils représentent le premier environnement d’exécution des attaquants après avoir exploité un conteneur.
Elles ont également recommandé aux organisations d’utiliser des moteurs de conteneurs sans racine et sans racine pour empêcher toute exécution de la racine, car plusieurs services de conteneurs exécutent par défaut l’utilisateur à privilège racine.
Les Argo Workflows peuvent être exploités
Les chercheurs en sécurité ont également fait valoir que les Argo Workflows sont généralement développés de manière à réduire la complexité des déploiements. Cependant, s’ils ne sont pas correctement configurés, les hackers peuvent les transformer en outils d’exploitation.
Lorsque les chercheurs ont cherché des exemples mal configurés, ils en ont vu qui avaient des autorisations légères ou qui n’étaient pas du tout protégés. Ces exemples peuvent permettre aux attaquants de déployer des workflows.
