Майнеры активно злоупотребляют возможностями Kubernetes RBAC

Discussion in 'Мировые новости. Обсуждения.' started by alexzir, 24 Apr 2023.

  1. alexzir

    alexzir Well-Known Member

    Joined:
    29 Oct 2019
    Messages:
    962
    Likes Received:
    2,311
    Reputations:
    25
    Система распределения прав доступа к различным объектам в кластере Kubernetes используется злоумышленниками для создания стойких бэкдор-аккаунтов в кластерах Kubernetes и последующего захвата ресурсов для майнинга Monero.

    RBAC (Role-Based Access Control) представляет собой систему управления доступом к API Kubernetes, которая позволяет администраторам определять, какие пользователи или сервис-аккаунты могут получить доступ к ресурсам и операциям API.

    Эксперты из компании Aqua Security описали недавно обнаруженную кампанию RBAC Buster, от которой уже пострадали как минимум 60 неправильно настроенных кластеров Kubernetes.

    В рамках этой кампании атакующие используют вредоносные политики управления доступом и «закрепляются» в скомпрометированных кластерах с их помощью. Таким образом, если в будущем неправильная конфигурация, которая обеспечила взломщикам первоначальный доступ, будет исправлена, они все равно сохранят доступ к кластеру.

    Кампания была обнаружена, когда злоумышленники взломали один из Kubernetes-ханипотов Aqua Security, который специально был настроен неправильно, раскрывая ключи API и ключи доступа. Атака началась с того, что хакеры получили первоначальный доступ через неправильно сконфигурированный API. Затем они проверили наличие конкурирующих вредоносных майнеров на скомпрометированном сервере, а после использовали RBAC, чтобы окончательно закрепиться в системе.

    «Злоумышленники создали новую ClusterRole с привилегиями уровня администратора, — объясняют исследователи. — Затем они создали ServiceAccount kube-controller в пространстве имен kube-system. После этого был создан ClusterRoleBinding, чтобы привязать ClusterRole к ServiceAccount, получив надежный и незаметный бэкдор».

    На последнем этапе атаки злоумышленники создали DaemonSet для развертывания на всех узлах образа контейнера из Docker (kuberntesio/kube-controller:1.0.1). Этот контейнер, который был загружен 14 399 раз с момента его создания пять месяцев назад, содержит криптовалютный майнер для добычи Monero.

    [​IMG]

    «Образ контейнера с именем kubernetesio/kube-controller — это тайпсквоттинг и попытка выдать себя за настоящую учетную запись kubernetesio, — пишут специалисты — Также образ имитирует популярный контейнер kube-controller-manager, который является критически важным компонентом, работающим в поде на каждом главном узле и отвечающим за обнаружение сбоев и реагирование на них».

    Исследователям удалось извлечь из файла конфигурации адреса кошельков хакеров, и согласно этим данным, злоумышленники уже добыли около 5 XMR. Таким образом, потенциально атакующие могут «зарабатывать» примерно 200 долларов с каждого воркера в год.
     
    CyberTro1n likes this.
Loading...
Similar Threads - Майнеры активно злоупотребляют
  1. Suicide
    Replies:
    4
    Views:
    2,827