{"id":19816,"date":"2023-05-17T19:22:37","date_gmt":"2023-05-17T22:22:37","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19816"},"modified":"2023-05-17T19:22:37","modified_gmt":"2023-05-17T22:22:37","slug":"ataque-explora-o-rbac-do-kubernetes-para-executar-mineradores-de-criptomoedas","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2023\/05\/basico\/ataque-explora-o-rbac-do-kubernetes-para-executar-mineradores-de-criptomoedas\/","title":{"rendered":"Ataque explora o RBAC do Kubernetes para executar mineradores de criptomoedas"},"content":{"rendered":"\n\n\n

Uma campanha de ataque em larga escala descoberta recentemente tem explorado o Role-Based Access Control (RBAC) do Kubernetes (K8s) para criar backdoors e executar mineradores de criptomoedas.<\/p>\n

\u00a0<\/p>\n

De acordo com um relat\u00f3rio divulgado pela empresa de seguran\u00e7a em nuvem Aqua e compartilhado com The Hacker News, os atacantes t\u00eam utilizado o RBAC do Kubernetes para comprometer clusters do K8s. A empresa israelense, que nomeou o ataque de “RBAC Buster”, identificou cerca de 60 clusters expostos do K8s que foram explorados pelo grupo por tr\u00e1s dessa campanha.<\/p>\n

\u00a0<\/p>\n

A cadeia de ataques teve in\u00edcio com o invasor obtendo acesso inicial atrav\u00e9s de um servidor de API mal configurado. Em seguida, o invasor verifica se h\u00e1 evid\u00eancias de outros malwares de minera\u00e7\u00e3o concorrentes no servidor comprometido e em seguida utiliza o RBAC para estabelecer persist\u00eancia.<\/p>\n

\u00a0<\/p>\n

“A campanha tamb\u00e9m implantou DaemonSets para assumir o controle e se apossar dos recursos dos clusters do K8s que foram alvo”, afirmou a empresa de seguran\u00e7a Aqua em seu relat\u00f3rio. A t\u00e1tica dos invasores \u00e9 permitir que eles executem os mineradores de criptomoedas, utilizando os recursos de computa\u00e7\u00e3o dispon\u00edveis no cluster sem o conhecimento dos propriet\u00e1rios leg\u00edtimos.<\/p>\n

\u00a0<\/p>\n

Em sua abordagem, o invasor cria um novo ClusterRole com privil\u00e9gios pr\u00f3ximos aos de administrador. Em seguida, cria uma “ServiceAccount” chamada “kube-controller” no namespace “kube-system”. Por fim, \u00e9 criado um “ClusterRoleBinding” que associa o ClusterRole \u00e0 ServiceAccount, criando assim uma persist\u00eancia forte e impercept\u00edvel.<\/p>\n

\u00a0<\/p>\n

Nos ataques observados contra seus honeypots do K8s, a Aqua constatou que o invasor tentou utilizar chaves de acesso AWS deliberadamente expostas para obter uma posi\u00e7\u00e3o consolidada no ambiente, roubar dados e escapar das restri\u00e7\u00f5es do cluster.<\/p>\n

\u00a0<\/p>\n

\"Kubernetes<\/a><\/div>\n

\u00a0<\/p>\n

O \u00faltimo passo do ataque envolve a cria\u00e7\u00e3o de um DaemonSet para implantar uma imagem de cont\u00eainer hospedada no Docker (“kuberntesio\/kube-controller:1.0.1”) em todos os n\u00f3s. Essa imagem de cont\u00eainer, que foi baixada 14.399 vezes desde o seu upload h\u00e1 cinco meses, cont\u00e9m um minerador de criptomoedas.<\/p>\n

\u00a0<\/p>\n

“A imagem de cont\u00eainer chamada ‘kuberntesio\/kube-controller’ \u00e9 um caso de typosquatting que se passa pela conta leg\u00edtima ‘kubernetesio'”, afirmou a Aqua. “A imagem tamb\u00e9m imita a popular imagem de cont\u00eainer ‘kube-controller-manager’, que \u00e9 um componente cr\u00edtico do plano de controle, executado em um Pod em cada n\u00f3 mestre, sendo respons\u00e1vel por detectar e responder a falhas nos n\u00f3s.”<\/p>\n

\u00a0<\/p>\n

Curiosamente, algumas das t\u00e1ticas descritas na campanha apresentam semelhan\u00e7as com outra opera\u00e7\u00e3o il\u00edcita de minera\u00e7\u00e3o de criptomoedas que tamb\u00e9m se aproveitava de DaemonSets para minerar Dero e Monero. Atualmente, n\u00e3o est\u00e1 claro se os dois conjuntos de ataques est\u00e3o relacionados.<\/p>\n

\u00a0<\/p>\n

A explora\u00e7\u00e3o do RBAC do Kubernetes em uma campanha em larga escala para minera\u00e7\u00e3o de criptomoedas representa uma amea\u00e7a significativa para organiza\u00e7\u00f5es e empresas que utilizam essa tecnologia. Al\u00e9m das perdas financeiras decorrentes da minera\u00e7\u00e3o n\u00e3o autorizada, esses ataques comprometem a integridade dos clusters do K8s e podem resultar em impactos adversos, como:<\/p>\n

\u00a0<\/p>\n

Sobrecarga de recursos: Os mineradores de criptomoedas consomem recursos computacionais, como processamento, mem\u00f3ria e largura de banda, reduzindo a disponibilidade desses recursos para outras cargas de trabalho leg\u00edtimas.<\/p>\n

\u00a0<\/p>\n

Aumento dos custos operacionais: O uso indevido dos recursos de computa\u00e7\u00e3o pode levar a um aumento nos custos de energia e infraestrutura para as organiza\u00e7\u00f5es afetadas.<\/p>\n

\u00a0<\/p>\n

Riscos de seguran\u00e7a: Ao comprometer os clusters do K8s, os invasores podem explorar ainda mais a infraestrutura e tentar realizar outros tipos de ataques, como exfiltra\u00e7\u00e3o de dados ou distribui\u00e7\u00e3o de malware.<\/p>\n

\u00a0<\/p>\n

Para proteger os clusters do Kubernetes contra esses ataques, \u00e9 importante adotar as seguintes medidas:<\/p>\n

\u00a0<\/p>\n

Atualiza\u00e7\u00e3o e manuten\u00e7\u00e3o: Manter o Kubernetes e todos os seus componentes atualizados com as \u00faltimas corre\u00e7\u00f5es de seguran\u00e7a \u00e9 fundamental para evitar vulnerabilidades conhecidas.<\/p>\n

\u00a0<\/p>\n

Configura\u00e7\u00e3o segura do RBAC: Configurar corretamente as permiss\u00f5es do RBAC, seguindo as melhores pr\u00e1ticas de seguran\u00e7a, \u00e9 essencial para restringir o acesso n\u00e3o autorizado aos recursos do cluster.<\/p>\n

\u00a0<\/p>\n

Monitoramento e detec\u00e7\u00e3o de anomalias: Implementar solu\u00e7\u00f5es de monitoramento para identificar atividades suspeitas, como comportamento an\u00f4malo do tr\u00e1fego de rede ou consumo excessivo de recursos, pode ajudar a detectar e responder rapidamente a esses ataques.<\/p>\n

\u00a0<\/p>\n

Conscientiza\u00e7\u00e3o e treinamento: Educar os usu\u00e1rios e administradores do Kubernetes sobre as melhores pr\u00e1ticas de seguran\u00e7a, incluindo a import\u00e2ncia de manter as credenciais de acesso seguras e relatar atividades suspeitas, pode ajudar a prevenir ataques bem-sucedidos.<\/p>\n

\u00a0<\/p>\n

Auditorias de seguran\u00e7a regulares: Realizar auditorias peri\u00f3dicas para identificar vulnerabilidades de seguran\u00e7a e avaliar a configura\u00e7\u00e3o correta do Kubernetes \u00e9 uma pr\u00e1tica recomendada para manter um ambiente seguro.<\/p>\n

\u00a0<\/p>\n

A explora\u00e7\u00e3o do RBAC do Kubernetes em uma campanha em larga escala para minera\u00e7\u00e3o de criptomoedas \u00e9 uma amea\u00e7a s\u00e9ria que pode comprometer a seguran\u00e7a e a integridade dos clusters do K8s. Ao adotar medidas de prote\u00e7\u00e3o adequadas e manter-se atualizado sobre as \u00faltimas amea\u00e7as, as organiza\u00e7\u00f5es podem fortalecer a seguran\u00e7a de seus ambientes Kubernetes e minimizar os riscos associados a esses ataques. A colabora\u00e7\u00e3o entre as equipes de seguran\u00e7a, desenvolvimento e opera\u00e7\u00f5es \u00e9 fundamental para uma defesa eficaz contra essas amea\u00e7as em constante evolu\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

Fonte: https:\/\/thehackernews.com\/2023\/04\/kubernetes-rbac-exploited-in-large.html<\/a><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Uma campanha de ataque em larga escala descoberta recentemente tem explorado o Role-Based Access Control (RBAC) do Kubernetes (K8s) para criar backdoors e executar mineradores de criptomoedas. \u00a0 De acordo com um relat\u00f3rio divulgado pela empresa de seguran\u00e7a em nuvem Aqua e compartilhado com The Hacker News, os atacantes t\u00eam utilizado o RBAC do Kubernetes […]<\/p>\n","protected":false},"author":2,"featured_media":19820,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19816","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19816","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19816"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19816\/revisions"}],"predecessor-version":[{"id":19819,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19816\/revisions\/19819"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19820"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19816"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19816"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19816"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}