逾38万Kubernetes API服务器有暴露风险

　　作者 | Jeff Burt

　　译者 | 仇凯

　　整理 | Noe

在云原生时代，越来越多的企业意识到容器将成为IT架构中关键的基础设施平台，纷纷转向Kubernetes，通过其容器编排及管理能力，轻松维护生产、开发和测试环境。但近日有研究人员发现，大量Kubernetes API服务器存在安全风险。

非营利性安全组织Shadowserver Foundation最近扫描了454729个Kubernetes API实例。通过扫描端口6443和443上的所有IPv4空间，寻找响应“HTTP 200 OK 状态”（这表明请求成功）的IP地址，结果发现其中有381645个响应为 “200 OK”，占总体的84%。

扫描结果并不意味着这些服务器完全开放，它更多地意味着这些服务器有可能成为易受威胁的攻击目标，为攻击者提供入侵企业网络的可行途径。

“虽然这并不意味着这些实例是完全开放或存在可被攻击的漏洞，这种级别的访问方式似乎并非有意造成的，但是这些实例是非必要的攻击暴露面，”Shadowserver的团队在一篇文章中强调，“这还导致了包含软件版本和构建方式等信息的泄漏。”

数据安全公司Comforte AG的市场主管Erfan Shadabi表示，尽管这些信息看似无关紧要，但是企业不应低估这些Kubernetes API服务器在互联网暴露所带来的风险。

Shadabi提到：“Kubernetes的发展势不可挡，它为企业应用程序的敏捷交付创造了巨大收益，但它的工作特性使其成为了理想的攻击目标。例如，由于管理和运行许多容器，Kubernetes就形成了很大的攻击面，如果事先未进行充分评估并建立有效的防护措施，这些攻击面就非常容易遭受攻击。因此，Shadowserver Foundation的扫描发现了如此多的漏洞也就不足为奇了。”

更令人担忧的是，Kubernetes内置的数据安全功能只达到了安全要求的最低标准，只能保护静态数据和动态数据，“没有使用类似字段级标记化的行业通用技术来对数据本身进行持久保护”。

“如果一个生态系统受到威胁，那么与之相关的敏感数据受到无法抵挡的潜在攻击只是时间问题。在生产环境中使用容器和Kubernetes的企业必须谨慎对待Kubernetes的安全性问题。”

Kubernetes目前是本地环境和公有云环境中最受欢迎的容器管理工具，Red Hat(OpenShift)、VMware(Tanzu)和SUSE(Rancher)等供应商都有商业版本的Kubernetes系统可供选择。根据市场研究公司Statista的数据，截至2021年，全球近50%的企业已经直接或间接地使用了Kubernetes。因此其潜在的安全风险更加不容忽视。

近年来，我们发现开源系统逐渐受到更多攻击者的青睐。在云计算时代，围绕Linux的攻击面在逐渐扩大。

网络安全供应商趋势科技在去年的一份报告中指出，其Cloud One产品保护的云工作负载中，Linux系统占61%，Windows系统占39%。网络威胁的范围从勒索软件和木马延伸到挖矿软件和Webshell。

“鉴于Linux深深植根于日常工作，尤其是作为云基础设施和物联网(IoT)不可或缺的一部分，Linux和Linux工作负载的安全性必须与Windows和其他操作系统同等对待。”趋势科技的研究人员写道。

去年年底，当被广泛使用的Apache Log4j日志工具中的漏洞被披露时，开源系统面临的风险和威胁就被凸显出来了。这些缺陷很容易被利用，而且Log4j的使用非常广泛，以至于许多企业很难在其IT环境中找到所有包含Log4j的实例来修复它们。攻击者反应非常快速，利用这个被称为Log4Shell的缺陷进行大范围的攻击，并持续将它们用作系统的攻击锚点。

这在上周的一份报告中得到了证明，该报告发现与俄罗斯有关的Wizard Spider是Conti和Ryuk等勒索软件背后的威胁组织，它在某些利用Log4Shell开展的活动中有广泛的影响力。

Shadowserver建议企业对Kubernetes API服务器实施访问授权或在防火墙中配置阻断策略以阻止未授权访问，进而减少攻击面。