Recentemente, uma nova campanha de ataque foi descoberta pelos pesquisadores de segurança cibernética da Aqua Security que explora o Kubernetes RBAC para montar backdoors e minerar criptomoedas como o Monero.
Sistema de controle de acesso da API Kubernetes conhecido como RBAC permite administradores especifiquem quais contas de serviço ou usuários têm acesso às operações e recursos da API.
Este sistema fornece controle de acesso preciso e aprimora as medidas de segurança, limitando o acesso a recursos críticos.
Ataque cibernético via Kubernetes RBAC
Os atores da ameaça podem estabelecer persistência em clusters comprometidos mesmo depois de resolver a configuração incorreta de acesso inicial, explorando o RBAC para impor políticas maliciosas de controle de acesso.
Um Equipe AquaSegurança chamado ‘Nautilus’ descobriu esse novo tipo de ataque, que eles chamaram de ‘RBAC Buster’. Foi relatado que 60 configurações incorretas Clusters Kubernetes foram comprometidos como resultado desta campanha.
O ator da ameaça estabeleceu uma persistência poderosa e secreta criando um novo ClusterRole com privilégios de administrador quase totais, produzindo uma ServiceAccount ‘kube-controller’ dentro do namespace ‘kube-system’ e, em seguida, vinculando o ClusterRole à ServiceAccount por meio de um ‘ClusterRoleBinding’ .
Aqui, o invasor procurou explorar as chaves de acesso da AWS expostas em seus honeypots K8s para:-
- Estabeleça uma posição contínua no sistema.
- Extraia informações confidenciais
- Evite as restrições do cluster
Várias implantações existentes também foram excluídas pelo invasor em diferentes namespaces, que incluem:-
- kube-secure-fhgxtsjh
- kube-secure-fhgxt
- proxy-API
- implantação de trabalhadores
O último movimento do perpetrador envolveu a geração de um DaemonSet para espalhar uma imagem de contêiner hospedada no Docker (“kubernetesio/kube-controller:1.0.1”) em cada nó como parte do ataque.
O minerador de criptomoedas está escondido dentro do contêiner, que foi baixado mais de 14 mil vezes nos últimos cinco meses. Ao fazer typosquat na conta legítima ‘kubernetesio’, a imagem do contêiner ‘kuberntesio/kube-controller’ engana os usuários.
A imagem imita ainda a imagem essencial do contêiner ‘kube-controller-manager’, responsável por detectar e resolver falhas de nó, e é executada dentro de um Pod em cada nó mestre.
Ao examinar o arquivo de configuração, ficou claro que o criminoso já havia minado 5 XMR e pode ganhar até US$ 200 anualmente por trabalhador.
Além disso, os ataques RBAC Buster em clusters Kubernetes podem resultar em resultados graves, como: –
Mitigações
A seguir mencionamos as medidas de segurança recomendadas pelos especialistas para mitigar a ameaça: –
- Proibir solicitações não autenticadas de usuários anônimos.
- Certifique-se de proteger o servidor API.
- Certifique-se de empregar o controle de acesso baseado em função (RBAC) de forma eficaz.
- Aplique políticas rígidas de acesso à API.
- Monitore regularmente os logs de auditoria.
- Certifique-se de criptografar todos os segredos com criptografia adequada.
- Sempre proteja as credenciais da conta hospedadas no cluster.
