Lebih dari 900.000 kluster Kubernetes terbuka, yang salah konfigurasi, ditemukan terpapar di internet untuk pemindaian yang berpotensi berbahaya, beberapa bahkan rentan terhadap serangan siber yang mengekspos data.
Kubernetes adalah sistem orkestrasi container open-source yang sangat serbaguna untuk meng-hosting layanan online dan mengelola workloads dalam container melalui (Application Programming Interface) API yang seragam.
Kubernetes memiliki tingkat adopsi dan pertumbuhan yang besar berkat skalabilitas, fleksibilitas dalam lingkungan multi-cloud, portabilitas, biaya, pengembangan aplikasi dan pengurangan waktu penerapan sistem.
Namun, jika Kubernetes tidak dikonfigurasi dengan benar, aktor jarak jauh mungkin dapat mengakses sumber daya internal dan aset pribadi yang tidak dimaksudkan untuk dipublikasikan.
Selain itu, tergantung pada konfigurasi, penyusup terkadang dapat meningkatkan hak istimewa mereka dari wadah untuk memecahkan isolasi dan berporos ke proses host dan memberi mereka akses awal ke jaringan perusahaan internal untuk serangan lebih lanjut.
Menemukan Kubernetes yang Terbuka
Para peneliti di Cyble telah melakukan latihan untuk menemukan perusahaan Kubernetes yang terpapar di internet dengan alat pemindaian dan queries penelusuran serupa dengan yang digunakan oleh aktor jahat.
Hasilnya menunjukkan 900.000 server Kubernetes yang sangat besar dengan 65% di antaranya (585.000) berlokasi di Amerika Serikat, 14% di Cina, 9% di Jerman, sementara Belanda dan Irlandia masing-masing menyumbang 6%.
Negara dengan perusahaan paling terbuka (Cyble)
Dari server yang terpapar, port TCP yang paling terbuka adalah “443” dengan lebih dari satu juta perusahaan.
Penting untuk digarisbawahi bahwa tidak semua cluster yang terpapar ini dapat dieksploitasi dan bahkan di antara cluster tersebut, tingkat risikonya bervariasi tergantung pada konfigurasi individu.
Kasus Berisiko Tinggi
Untuk mengevaluasi berapa banyak perusahaan yang terpapar dan mungkin berisiko signifikan, Cyble melihat kode kesalahan yang dikembalikan ke permintaan yang tidak diautentikasi ke Kubelet API.
Sebagian besar perusahaan yang terpapar mengembalikan kode kesalahan 403, yang berarti permintaan yang tidak diautentikasi dilarang dan tidak dapat dilalui, sehingga tidak ada serangan yang dapat terjadi terhadap mereka.
Kode kesalahan 403 menghilangkan potensi serangan (Cyble)
Lalu ada subset dari sekitar lima ribu perusahaan yang menjawab dengan kode kesalahan 401 dan menunjukkan bahwa permintaan tersebut tidak sah.
Kesalahan 401 dalam permintaan yang tidak sah (Cyble)
Namun, respon ini memberi tip kepada penyerang potensial bahwa cluster berfungsi dan mereka dapat mencoba serangan tambahan berdasarkan eksploitasi dan kerentanan.
Terakhir, ada sebagian kecil dari 799 perusahaan yang mengembalikan kode status 200 yang sepenuhnya terekspos ke penyerang eksternal.
Dalam kasus ini, aktor ancaman dapat mengakses nodes di Dashboard Kubernetes tanpa kata sandi, mengakses semua rahasia, melakukan tindakan, dll.
Dashboard Kubernetes yang terbuka diakses tanpa kata sandi (Cyble)
Meskipun jumlah server Kubernetes yang rentan cukup rendah, kita hanya butuh menemukan kerentanan yang dapat dieksploitasi dari jarak jauh.
Untuk memastikan bahwa cluster kita tidak termasuk di antara 799 tersebut atau bahkan yang tidak terlalu terekspos, tetap perkuat keamanan sistem Kubernetes kita.
Mendapatkan Gambaran yang Lebih Jelas
Bulan lalu, The Shadowserver Foundation merilis laporan tentang perusahaan Kubernetes yang terbuka di mana mereka menemukan 381.645 IP unik yang merespons dengan 200 kode kesalahan HTTP.
Cyble mengatakan bahwa alasan perbedaan besar ini adalah karena mereka menggunakan pemindai sumber terbuka dan queries sederhana yang akan tersedia untuk setiap aktor ancaman.
Sedangkan Shadowserver memindai seluruh ruang IPv4 dan memantau penambahan baru setiap hari.
“Statistik yang disediakan di blog Kubernetes dengan diterbitkan dari BleepingComputer didasarkan pada pemindai sumber terbuka dan queries yang tersedia untuk produk.
Seperti yang disebutkan, kami telah mencari berdasarkan kueri “Kubernetes”, “Kubernetes-master”, “KubernetesDashboard”, “K8” dan hash favicon bersama dengan kode status 200.403 & 401,” jelas Cyble.
“The Shadowserver mengambil pendekatan berbeda untuk menemukan eksposur sesuai blog mereka di Kubernetes ‘Kami memindai setiap hari dengan permintaan HTTP GET menggunakan /version URL Kami memindai semua ruang IPv4 pada port 6443 dan 443. Kami hanya menyertakan server Kubernetes yang merespons dengan 200 OK (dengan respons JSON yang menyertainya) dan karenanya mengungkapkan informasi versi dalam respons mereka.’”
“Karena kami tidak memindai ruang IPv4 lengkap seperti server bayangan dan mengandalkan intel yang ada di sumber terbuka, hasil yang kami dapatkan berbeda dari Shadowserver.”
Meskipun angka-angka Cyble mungkin tidak terlalu mengesankan, angka-angka tersebut sangat penting dari sudut pandang bahwa angka-angka tersebut sesuai dengan cluster Kubernetes yang sangat mudah ditemukan dan diserang.
Bitdefender GravityZone Security for Containers
Mampu melindungi workloads container terhadap Linux modern dan serangan container dengan pencegahan ancaman yang didukung AI.
Fitur ini juga memiliki teknologi anti-eksploitasi khusus Linux, dan endpoint detection and response kontekstual dengan (EDR).
Dan dengan XDR ke komponen korelasi peristiwa lintas endpoint, mampu mendeteksi serangan lanjutan di beberapa endpoint dalam infrastruktur hybrid.
Keuntungan menggunakan perlindungan ini:
- Visibilitas dan kontrol terpadu di semua workloads, termasuk Risk Management, Antimalware, machine learning yang dapat disetel, Advanced Anti-Exploit dan EDR dengan korelasi lintas endpoints dan XDR untuk menyatukan kecerdasan perangkat di seluruh jaringan perusahaan.
- Kemanjuran keamanan yang ditingkatkan dengan deteksi 100% teknik serangan untuk Linux.
- Peningkatan pengelolaan dan pemeliharaan lingkungan komputasi di berbagai distribusi Linux dan infrastruktur container.
Recent Comments