Célkeresztben a Docker és a Kubernetes

​A feketekalapos hackerek ismét a felhő alapú infrastruktúrák felé vették az irányt. Ezúttal a Docker és a Kubernetes került célpontba.
 

Az már nem jelent újdonságot, hogy a kiberbűnözők minden olyan platformot, szoftvert, szolgáltatást, eszközt kiszemelnek maguknak, amelyek széles körben használatosak. A konténer alapú technológiák fejlődésével egyebek mellett a Docker és a Kubernetes is mind nagyobb népszerűségre tesz szert, így csak idő kérdése volt, hogy a hackerek mikor szállnak rá intenzívebben e megoldásokra is.
 
Az Intezer biztonsági kutatói arra a megállapításra jutottak, hogy eljött az ideje annak, hogy a Docker és a Kubernetes üzemeltetői vagy épp fejlesztői minden korábbinál nagyobb figyelmet fordítsanak e környezetek, infrastruktúrák, rendszerek védelmére. A TeamTNT nevű kibercsoport ugyanis az elmúlt időszakban olyan támadásokat indított, amelyek felhős környezeteket tettek teljes mértékben kiszolgáltatottá. Ráadásul úgy, hogy semmiféle komoly és szofisztikált módszert nem vetettek be az elkövetők.
 
A támadók leginkább abból próbáltak profitálni, hogy egy legális, nyílt forráskódú eszköz képességeinek kihasználásával érték el, hogy ne keltsenek feltűnést a célkeresztbe állított rendszereken. A gyakorlatban ez azt jelentette, hogy a megtámadott rendszer esetében először egy nem megfelelően védett Docker API-n keresztül létrehoztak egy Ubuntu alapú konténert, majd azt "felcsatolták" az adott környezetbe. Ezt követően SSH-n keresztül feltelepítették a nyílt forráskódú Weave Scope szoftvert, amelyet az alapértelmezett 4040-es porton keresztül értek el.
 
A Weave Scope segítségével egyrészt teljes körűen fel tudták térképezni az érintett infrastruktúrát, monitorozhatták a folyamatokat, és adott esetben át is vehették az irányítást egyes erőforrások felett. Mindezt úgy, hogy semmiféle kártékony kódot nem kellett telepíteniük.
 
Az Intezer biztonsági kutatói most először találkoztak olyan támadással, amelynek során teljesen legális eszközökkel sikerült egy felhős rendszert térdre kényszeríteni. Ugyanakkor elég nagy az esély arra, hogy az ilyen támadások száma a jövőben emelkedni fog. Ezért a szakemberek minden üzemeltetőt arra buzdítanak, hogy ellenőrizzék a Kubernetes és a Docker alapú megoldások védelmét, különösen, ami a Docker API-khoz való hozzáféréskezelést illeti.