洞察:中国特色社会主义VC生态圈已在建设中
06-17
Azure Kubernetes又被盗了! 6月10日,微软Azure安全中心(ASC)正式发布警告称,黑客正在Kubernetes集群中的机器学习工具包Kubeflow上安装加密货币挖矿器,试图利用CPU资源挖掘门罗币虚拟货币XMRIG。
这次恶意“挖矿”操作从 4 月份开始,已经污染了数十个 Kubernetes 集群。
ASC 调查发现,黑客攻击 Kubeflow 是因为用户更改了默认设置。
针对机器学习框架 Kubeflow 4 月初,在监控和防御 AKS 上运行的数千个 Kubernete 集群时,ASK 发现许多不同的集群在公共存储库中部署了可疑镜像。
经过监控分析,发现这些可疑图像运行的是XMRIG矿机。
查看运行该映像的各个集群,其中大多数都运行 Kubeflow。
这一事实表明,本次恶意攻击的访问媒介是机器学习框架Kubeflow。
Kubernetes 是一个开源容器编排引擎,支持自动化部署、大规模可扩展性和应用程序容器管理。
在生产环境中部署应用程序时,通常会部署该应用程序的多个实例来平衡应用程序请求的负载。
在Kubernetes中,可以创建多个容器,每个容器运行一个应用实例,然后通过内置的负载均衡策略,可以实现对这组应用实例的管理、发现和访问。
Kubeflow 是机器学习任务的运行示例之一。
随着Kubernetes变得越来越强大,其攻击案例也越来越多。
然而,这是针对 Kubeflow 的第一次攻击。
ASC 安全研究软件工程师 Yossi Weizman 补充道:“由于用于 ML 任务的节点往往相对强大,有时甚至包括 GPU,因此它们对加密矿工来说是有吸引力的目标”。
此外,Kubeflow是一个容器化服务,各种任务在集群中作为容器运行。
因此,如果攻击者以某种方式获得对 Kubeflow 的访问权限,他们可以通过多种方式在集群中运行其恶意映像。
但在默认配置下,外部对Kubeflow的攻击很难成功。
利用默认设置漏洞 Kubeflow 功能可通过连接到仪表板的 API 服务器获得,用户可以利用该仪表板来管理其任务。
仪表板只能通过位于集群边缘的 Istio 入口网关使用。
对于 Kubeflow 来说,这是一个非常安全的盾牌。
然而,有些用户会更改此默认设置,并将 Istio 服务修改为 Load-Balancer 以方便访问。
这消除了通过网关直接访问仪表板的需要,但它也将仪表板直接公开到互联网,任何人都可以直接访问它并对 Kubeflow 功能进行更改。
Kubeflow 功能仪表板 此外,如果攻击者可以访问仪表板,他们可以通过多种方式在集群中部署新容器。
常见的方式有两种: 访问 Kubeflow 的用户可以创建 Jupyter Notebook 服务器,并为 Notebook 服务器选择镜像,包括自定义镜像。
该映像不需要是合法的,因此攻击者可以使用此功能来运行自己的映像。
从 Jupyter Notebook 部署恶意容器:攻击者可以使用新的或现有的 Notebook 来运行其 Python 代码。
该代码从笔记本服务器运行,笔记本服务器本身是一个带有已安装服务帐户的容器。
此服务帐户(默认配置)有权在其命名空间中部署容器。
因此,攻击者可以利用它在集群中部署新的容器。
ASC 研究员 Yossi Weizman 表示:在这起事件中,黑客利用暴露的 Kubeflow 工具获得了对 Kubernetes 集群的初始访问权限。
集群中的执行和持久化是由部署在集群中的容器来执行的。
攻击者设法使用已安装的服务帐户横向移动和部署容器。
最后,攻击者通过运行加密货币矿工对集群产生影响。
如果用户想要调查其集群中是否存在受感染的 Kubeflow 实例,Weizman 提供了以下步骤: 通过运行以下命令验证集群中是否未部署恶意容器: kubectl get pods –all-namespaces -o jsonpath =”{.items [*].spec.containers[*].image}” | grep -i ddsfdfsaadfs 如果 Kubeflow 部署在集群中,则需要确保其仪表板不暴露于 Internet:使用以下命令类型检查 Istio 入口服务,以确保其不是具有公共 IP 的负载均衡器: kubectl get service istio-ingressgateway -n istio-system 容器化技术一直受到攻击。
对于这起因更改默认配置而引发的黑客攻击,有用户抱怨道,“云服务器的安全需要专业人员定期维护和管理,所以我在工作中不会使用云服务器。
”事实上,云服务器的安全性一直存在争议。
除了 Kubernetes 之外,Docker 应用容器引擎也经常成为黑客攻击的目标。
去年 10 月,多个不安全的 Docker 引擎主机被名为 Graboid 的挖矿蠕虫劫持。
除此之外,使用 Kinsing 恶意软件开采比特币的活动正在迅速蔓延。
此次挖矿事件虽然仅感染了数十个集群,但也引起了用户的广泛关注。
对于容器化技术频发的加密劫持事件,有用户批评称,“比特币本应改变或至少重新定义传统数字货币流程,但最终却成了某种盗贼行会的纸条。
”多么浪费啊!同时,也有网友表示乐观,认为挖矿、劫持等犯罪行为最终会消失。
那么,你还会使用既功能强大又存在安全风险的云计算服务平台吗?雷锋网 雷锋网 来源:雷锋网 如需转载,请到雷锋网官网申请授权。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-17
06-21
06-18
06-18
06-18
最新文章
三只松鼠:门店扩张已全面暂停
Nvidia 已准备好“统治”AI
【创业24小时】2023年11月16日
【创业24小时】2022年10月20日
倒计时一天,浙江这座小镇要火了!
沃图网络获数千万A轮投资,加大投入海外网红营销SaaS平台建设
泰山天使基金部分退出拉手半年回报180倍
西格数据完成1000万元A+轮融资,国发创投领投