超 38 万个 Kubernetes API 服务器暴露于互联网

技术编辑：典典丨发自 思否编辑部

公众号：SegmentFault

---

近日，有研究人员发现，超过 38 万个 Kubernetes API 服务器允许以某种方式访问公共互联网，这让用于管理云部署的流行开源容器 Kubernetes 变成了一个广泛的攻击域，易于被威胁者当作攻击目标。

据本周的一篇博客称，Shadowserver 基金会在扫描互联网上的 Kubernetes API 服务器时发现了此问题。目前，受影响的服务器已经超过了 45 万个。

ShadowServer 每天会对 IPv4 空间的端口 443 和 6443 进行扫描，寻找响应 “HTTP 200 OK 状态” 的 IP 地址，若得到响应，则表示该请求已经成功。

研究人员表示，在 Shadowserver 发现的 454729 个 Kubernetes API 实例中，有 381645 个响应"200 OK"。因此，开放的 API 实例占 Shadowserver 扫描的所有 API 实例的近 84%。

此外，大部分可访问的 Kubernetes 服务器共有 201348 个，其中有将近 53% 都位于美国。

该博客称，虽然扫描的结果并不意味着这些服务器完全开放或容易受到攻击，但它确实表明了这些服务器都存在"一个暴露的攻击面 "。

研究人员指出，这种暴露可能会让各种版本和构建的信息发生泄漏。

 

云设施一直在处于攻击之中

让人非常不安的是，已经有越来越多的攻击者瞄准 Kubernetes 云集群进行攻击。

但事实上，数据安全公司 comforte AG 的网络安全专家 Erfan Shadabi 在给媒体的一封电子邮件中表示，对于 Shadowserver 扫描发现如此多 Kubernetes 服务器暴露在公共互联网上这件事，他并不惊讶：

“Kubernetes 为企业的敏捷应用交付提供了很多便利，有一些特征使其成为理想的攻击目标，例如，由于拥有许多容器，Kubernetes 有一个很大的攻击面，如果不预先采取保护措施，就很有可能被攻击者利用。”

 

开源设施的安全性

此发现引出了一个长期存在的问题，即如何构建开源系统的安全性，这些系统作为现代互联网和云基础设施的一部分，在互联网中已经无处不在。因此，针对它们的攻击已经成为了对它们所连接的无数系统的攻击。

其实这个问题在去年就已被注意到，六个月前，研究人员发现了无处不在的 Java 日志库 Apache Log4j 中的 Log4Shell 漏洞。

该漏洞很容易被利用，并且允许未经身份验证的攻击者远程执行代码 (RCE) 和完全接管服务器。最近的一份报告发现，尽管有可用于 Log4Shell 的补丁，但仍有数百万的 Java 应用程序仍然存在大量漏洞。

据 Shadabi 称，Kubernetes 存在一个致命弱点：平台内置的数据安全功能只能以最低限度保护数据，并且数据本身没有得到持续的保护，例如使用行业公认的技术，如字段级标记化等。因此，如果一个生态系统受到损坏，它所处理的敏感数据迟早会受到更隐蔽的攻击。

Shadabi 对于那些在生产环境中使用容器和 Kubernetes 的组织的建议是，要像对待 IT 基础设施一样认真全面的对待 Kubernetes 的安全。

最后，Shadowserver 基金会建议，如果管理员发现其环境中的 Kubernetes 实例可以访问互联网，他们应该考虑采取访问授权或在防火墙层面进行阻断，以减少暴露的攻击面。

参考链接：

https://threatpost.com/380k-kubernetes-api-servers-exposed-to-public-internet/179679/

- END -

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/