Microsoft оповестила об атаках криптомайнеров на Kubeflow
Корпорация Microsoft предупредила об атаках на Kubeflow, инструментарий машинного обучения для Kubernetes, цель которых заключается в установке программы XMRIG, использующей ресурсы процессоров захваченных узлов для добычи криптовалюты Monero.
Впервые обнаруженые в апреле, такие атаки производятся через шлюз Istio ingress на границе кластерной сети, и представляют опасность для тех узлов Kubernetes, где для удобства работы пользователями изменены исходные настройки безопасности, по умолчанию блокирующие доступ к панели управления из Интернета.
В сообщении блога, опубликованном в прошлую среду, Есси Вайцман (Yossi Weizman) инженер по программной безопасности в Azure Security Center, объяснил: "Открывая сервис Интернету, пользователи могут получить прямой доступ к панели инструментов. Однако это действие небезопасно, так как позволяет любому выполнять операции в Kubeflow, включая развертывание новых контейнеров в кластере".
Для того, чтобы проверить, что информационная панель недоступна из Интернета, Вейцман рекомендует воспользоваться командой kubectl get service istio-ingressgateway -n istio-system. Она позволяет убедиться, что сервис Istio ingress не является балансировщиком нагрузок с публичным IP-адресом.
По мере того как кластеры Kubernetes становятся больше и мощнее, увеличивается их привлекательность для атак такого типа. По мнению экспертов безопасности, организации должны предпринимать конкретные шаги для обеспечения защиты своих контейнеров и ресурсов Kubernetes на этапах сборки, развертывания и выполнения.
В частности, им следует использовать частные доверенные реестры, образы ПО из белого списка и принимать другие меры предосторожности для проверки ресурсов, из которых разрешена загрузка для пользователей/кластеров.
