Microsoft découvre un gang de cryptomining détournant des clusters Kubernetes

Spread the love
Microsoft découvre un gang de cryptomining détournant des clusters Kubernetes

Microsoft a publié hier un rapport détaillant une série d’attaques jamais vues auparavant contre Kubeflow, une boîte à outils permettant d’exécuter des opérations d’apprentissage machine (ML) sur des clusters Kubernetes.

Les attaques se poursuivent depuis le mois d’avril de cette année, et Microsoft affirme que l’objectif des attaquants était d’installer un mineur de cryptomonnaie sur les clusters Kubernetes exécutant des instances Kubeflow exposées à l’Internet.

publicité

Selon Yossi Weizman, chercheur en sécurité au sein du centre de sécurité Azure de Microsoft, la société a détecté ce type d’attaques contre “des dizaines de clusters Kubernetes” utilisant Kubeflow.

Mais si le nombre de clusters détournés est faible par rapport aux précédentes attaques visant Kubernetes, les profits des escrocs et les pertes financières des propriétaires de serveurs sont très probablement beaucoup plus élevés.

“Les nœuds utilisés pour les tâches de ML sont souvent relativement puissants, et dans certains cas comprennent des GPU”, a expliqué M. Weizman.

“Ce fait fait des clusters Kubernetes utilisés pour des tâches de ML une cible parfaite pour les campagnes de cryptojacking, ce qui était le but de cette attaque.”

Les attaques ont commencé en avril de cette année

Microsoft affirme qu’il suit ces attaques depuis avril, lorsqu’il les a vues pour la première fois se produire et a documenté la première vague d’attaques, avant que les escrocs n’élargissent leur champ d’action en passant des instances générales de Kubernetes à des groupes axés sur le ML et utilisant Kubeflow.

Ayant appris davantage au cours de son enquête sur les premières attaques, Microsoft affirme maintenant que le point d’entrée le plus probable des attaques sont les instances Kubeflow mal configurées.

Dans un rapport publié hier, Microsoft a déclaré que les administrateurs de Kubeflow ont très probablement modifié les paramètres par défaut de Kubeflow et ont exposé le panneau d’administration de la boîte à outils sur Internet. Par défaut, le panneau d’administration de Kubeflow n’est exposé qu’en interne et accessible depuis le cluster Kubernetes.

misconfigured-kubeflow.png

Matrice de menace Kubernetes pour les attaques des instances Kubeflow

Image : Microsoft

M. Weizman a déclaré que depuis avril, un groupe malveillant recherchait ces tableaux de bord, accédait aux panneaux d’administration exposés à Internet, et déployait de nouvelles images de serveurs dans les clusters Kubeflow. Ces images ont pour objectif l’exécution de XMRig, une application d’extraction de cryptomonnaie Monero.

Comment détecter les Kubeflows piratés

Au cas où les administrateurs de serveurs voudraient examiner leurs clusters pour détecter des instances Kubeflow piratées, Weizman a fourni les étapes suivantes.

  1. Vérifiez que le conteneur malveillant n’est pas déployé dans le cluster. La commande suivante peut vous aider à le vérifier :

    kubectl get pods -all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}” | grep -i ddsfdfsaadfs

  2. Dans le cas où Kubeflow est déployé dans le cluster, assurez-vous que son tableau de bord n’est pas exposé à l’internet : vérifiez le type de service d’entrée Istio par la commande suivante et assurez-vous qu’il ne s’agit pas d’un load balancer avec une IP publique :

    kubectl get service istio-ingressgateway -n istio-system

Source : “ZDNet.com”

Leave a Reply