Uma campanha de ataque em larga escala descoberta recentemente tem explorado o Role-Based Access Control (RBAC) do Kubernetes (K8s) para criar backdoors e executar mineradores de criptomoedas.
De acordo com um relatório divulgado pela empresa de segurança em nuvem Aqua e compartilhado com The Hacker News, os atacantes têm utilizado o RBAC do Kubernetes para comprometer clusters do K8s. A empresa israelense, que nomeou o ataque de “RBAC Buster”, identificou cerca de 60 clusters expostos do K8s que foram explorados pelo grupo por trás dessa campanha.
A cadeia de ataques teve início com o invasor obtendo acesso inicial através de um servidor de API mal configurado. Em seguida, o invasor verifica se há evidências de outros malwares de mineração concorrentes no servidor comprometido e em seguida utiliza o RBAC para estabelecer persistência.
“A campanha também implantou DaemonSets para assumir o controle e se apossar dos recursos dos clusters do K8s que foram alvo”, afirmou a empresa de segurança Aqua em seu relatório. A tática dos invasores é permitir que eles executem os mineradores de criptomoedas, utilizando os recursos de computação disponíveis no cluster sem o conhecimento dos proprietários legítimos.
Em sua abordagem, o invasor cria um novo ClusterRole com privilégios próximos aos de administrador. Em seguida, cria uma “ServiceAccount” chamada “kube-controller” no namespace “kube-system”. Por fim, é criado um “ClusterRoleBinding” que associa o ClusterRole à ServiceAccount, criando assim uma persistência forte e imperceptível.
Nos ataques observados contra seus honeypots do K8s, a Aqua constatou que o invasor tentou utilizar chaves de acesso AWS deliberadamente expostas para obter uma posição consolidada no ambiente, roubar dados e escapar das restrições do cluster.
O último passo do ataque envolve a criação de um DaemonSet para implantar uma imagem de contêiner hospedada no Docker (“kuberntesio/kube-controller:1.0.1”) em todos os nós. Essa imagem de contêiner, que foi baixada 14.399 vezes desde o seu upload há cinco meses, contém um minerador de criptomoedas.
“A imagem de contêiner chamada ‘kuberntesio/kube-controller’ é um caso de typosquatting que se passa pela conta legítima ‘kubernetesio'”, afirmou a Aqua. “A imagem também imita a popular imagem de contêiner ‘kube-controller-manager’, que é um componente crítico do plano de controle, executado em um Pod em cada nó mestre, sendo responsável por detectar e responder a falhas nos nós.”
Curiosamente, algumas das táticas descritas na campanha apresentam semelhanças com outra operação ilícita de mineração de criptomoedas que também se aproveitava de DaemonSets para minerar Dero e Monero. Atualmente, não está claro se os dois conjuntos de ataques estão relacionados.
A exploração do RBAC do Kubernetes em uma campanha em larga escala para mineração de criptomoedas representa uma ameaça significativa para organizações e empresas que utilizam essa tecnologia. Além das perdas financeiras decorrentes da mineração não autorizada, esses ataques comprometem a integridade dos clusters do K8s e podem resultar em impactos adversos, como:
Sobrecarga de recursos: Os mineradores de criptomoedas consomem recursos computacionais, como processamento, memória e largura de banda, reduzindo a disponibilidade desses recursos para outras cargas de trabalho legítimas.
Aumento dos custos operacionais: O uso indevido dos recursos de computação pode levar a um aumento nos custos de energia e infraestrutura para as organizações afetadas.
Riscos de segurança: Ao comprometer os clusters do K8s, os invasores podem explorar ainda mais a infraestrutura e tentar realizar outros tipos de ataques, como exfiltração de dados ou distribuição de malware.
Para proteger os clusters do Kubernetes contra esses ataques, é importante adotar as seguintes medidas:
Atualização e manutenção: Manter o Kubernetes e todos os seus componentes atualizados com as últimas correções de segurança é fundamental para evitar vulnerabilidades conhecidas.
Configuração segura do RBAC: Configurar corretamente as permissões do RBAC, seguindo as melhores práticas de segurança, é essencial para restringir o acesso não autorizado aos recursos do cluster.
Monitoramento e detecção de anomalias: Implementar soluções de monitoramento para identificar atividades suspeitas, como comportamento anômalo do tráfego de rede ou consumo excessivo de recursos, pode ajudar a detectar e responder rapidamente a esses ataques.
Conscientização e treinamento: Educar os usuários e administradores do Kubernetes sobre as melhores práticas de segurança, incluindo a importância de manter as credenciais de acesso seguras e relatar atividades suspeitas, pode ajudar a prevenir ataques bem-sucedidos.
Auditorias de segurança regulares: Realizar auditorias periódicas para identificar vulnerabilidades de segurança e avaliar a configuração correta do Kubernetes é uma prática recomendada para manter um ambiente seguro.
A exploração do RBAC do Kubernetes em uma campanha em larga escala para mineração de criptomoedas é uma ameaça séria que pode comprometer a segurança e a integridade dos clusters do K8s. Ao adotar medidas de proteção adequadas e manter-se atualizado sobre as últimas ameaças, as organizações podem fortalecer a segurança de seus ambientes Kubernetes e minimizar os riscos associados a esses ataques. A colaboração entre as equipes de segurança, desenvolvimento e operações é fundamental para uma defesa eficaz contra essas ameaças em constante evolução.
Fonte: https://thehackernews.com/2023/04/kubernetes-rbac-exploited-in-large.html
