超90万个K8S实例可被发现暴露在公网上，14%位于中国

时间：2022-07-01 09:24:39 来源：作者：SEAL安全

翻译：SEAL安全

原标题：

Over 900,000 Kube.NETes instances found exposed online

原文链接：

https://www.bleepingcomputer.com/news/security/over-900-000-kubernetes-instances-found-exposed-online/

据 Beepingcomputer 消息，超过90万个配置错误的 Kuberenetes 集群被发现暴露在互联网上，可能会受到潜在的恶意扫描，有些甚至容易受到数据暴露所带来的网络攻击。

Kubernetes 是一个被业界广泛采用的开源容器编排引擎，用于托管在线服务并通过统一的 API 接口管理容器化工作负载。

由于其可扩展性、在多云环境中的灵活性、可移植性、成本、应用开发和系统部署时间的减少，它被企业广为采用并且在近几年内快速增长。

然而，如果 Kubernetes 配置不当，远程攻击者可能会利用错误配置访问内部资源和私有资产，而这些资源和资产本来是不应该公开的。

此外，根据配置入侵者有时可以在容器中升级他们的权限，以打破隔离并转向主机进程，从而使他们能够初步进入企业内部网络以进行进一步的攻击。

查找暴露的Kubernetes

Cyble 的研究人员进行了一次演习，使用类似于恶意行为者使用的扫描工具和搜索查询，在网络上查找暴露的 Kubernetes 实例。

结果显示，能发现90万台 Kubernetes服务器，其中65%（58.5万台）位于美国，14%在中国，9%在德国，而荷兰和爱尔兰各占6%。

在暴露的服务器中，暴露最多的TCP端口是 “443”，有超过一百万个实例，端口“10250”的数量为231,200，而 “6443”端口有84,400个结果。

必须强调的是，并非所有这些暴露的集群都是可利用的。退一万步来说，即使在那些可利用的集群中，其风险程度也因具体配置而异。

高风险的情况

为了评估有多少暴露的实例可能存在重大风险，Cyble 研究了对 Kubelet API 的未经认证的请求所返回的错误代码。

绝大多数暴露的实例返回错误代码403，这意味着未经认证的请求被禁止，无法通过，所以不能对它们进行攻击。

然后有一个包含大约5000个实例的子集，返回错误代码401，表示该请求未经授权。

然而，这个响应给了潜在的攻击者一个提示，即此集群正在运行，因此他们可以利用漏洞尝试其他攻击。

最后，有一个包含799个 Kubernetes 实例的子集返回状态码为 200，这意味着这些实例完全暴露给外部攻击者。

在这些情况下，攻击者无需密码即可访问 Kubernetes Dashboard 上的节点、访问所有 Secret、执行操作等。

虽然易受攻击的 Kubernetes 服务器的数量相当少，但只需要发现一个可远程利用的漏洞，就会有更多的设备容易受到攻击。

为了确保你的集群不在这799个实例中，甚至不在暴露程度较低的5000个实例中，请参考 NSA 和 CISA 关于加固Kubernetes系统安全的指南：

https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/

掌握安全状况

上个月，Shadowserver 基金会发布了一份关于暴露的 Kubernetes 实例的报告，他们发现了38万个唯一IP响应了 HTTP 错误代码200。

Cyble 告诉 BleepingComputer，造成这种巨大差异的原因是，他们使用了开源扫描器和简单查询，这是任何威胁者都可以使用的。而 Shadowserver 则扫描了整个IPv4空间，并每天监测新增内容。

“我们最终发布的 Kubernetes 博客中提供的统计数据是基于开源扫描器和产品可用的查询。正如博客中提到的，我们根据查询 ‘Kubernetes’、‘Kubernetes-master’、‘KubernetesDashboard’、‘K8’ 和 favicon hashes 以及状态代码200、403和401进行了搜索。”Cyble解释说。

“据他们的博客内容显示，Shadowserver 采取了一种不同的方法来查找暴露情况，‘我们每天使用 /version URI的HTTP GET请求进行扫描。扫描6443和443端口的所有IPv4空间，并且只包括响应 200 OK（附带JSON响应）的Kubernetes服务器，因此在其响应中披露版本信息。’”

“由于我们不像 Shadowserver 那样扫描完整的IPv4空间，而是依靠开源工具提供的情报，所以我们得到的结果与 Shadowserver 不同。”

虽然 Cyble 的数据可能没有那么令人印象深刻，但从这些数据背后的 Kubernetes 集群容易定位和攻击的角度来看，它们非常重要。

Tags：K8S 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

我们一起聊聊K8s定时备份MySQL并发送到指定邮箱

边车容器(sidecar)：边车容器就是与主容器一起在一个pod中运行的容器，为业务容器赋能，共享一个网络空间，所以可以用127.0.0.1:3306连接主容器的数据库。一、背景：一开始的初衷是，想...【详细内容】

2023-12-29　　Search: K8S 点击:(75)　　评论:(0)　　加入收藏

升级就崩溃，K8s需要LTS版本！

Kubernetes集群不是在升级，就是在升级的路上。而对于维护K8s集群的团队来说，最担心的莫过于，系统因为K8s升级而引发了服务器大规模崩溃。想象一下，K8s升级发生在某个晚上，突然某...【详细内容】

2023-12-05　　Search: K8S 点击:(234)　　评论:(0)　　加入收藏

k8s部署维护问题汇总

集群问题系统Error: unknown flag: --etcd-quorum-read删除service 里面的相应字段start request repeated too quickly for kube-apiserver.service查看是不是有之前的进程...【详细内容】

2023-11-30　　Search: K8S 点击:(201)　　评论:(0)　　加入收藏

五分钟 k8s 实战-滚动更新与优雅停机

当我们在生产环境发布应用时，必须要考虑到当前系统还有用户正在使用的情况，所以尽量需要做到不停机发版。所以在发布过程中理论上之前的 v1 版本依然存在，必须得等待 v2 版本启...【详细内容】

2023-11-30　　Search: K8S 点击:(248)　　评论:(0)　　加入收藏

五分钟 K8s 实战-应用探针

今天进入 kubernetes 的运维部分（并不是运维 kubernetes，而是运维应用），其实日常我们大部分使用 kubernetes 的功能就是以往运维的工作，现在云原生将运维和研发关系变得更紧密了...【详细内容】

2023-11-27　　Search: K8S 点击:(186)　　评论:(0)　　加入收藏

Kubernetes创始人发声！K8s在被反噬！

Kubernetes 变得太复杂了，它需要学会克制，否则就会停止创新，直至丢失大本营。Kubernetes 联合创始人Tim Hockin 罕见发声。在今年的 KubeCon 上，他建议，Kubernetes 核心维护者应...【详细内容】

2023-11-27　　Search: K8S 点击:(159)　　评论:(0)　　加入收藏

K8s-服务网格实战-配置 Mesh（灰度发布）

在上一篇 k8s-服务网格实战-入门Istio中分享了如何安装部署 Istio，同时可以利用 Istio 实现 gRPC 的负载均衡。今天我们更进一步，深入了解使用 Istio 的功能。从 Istio 的流量...【详细内容】

2023-11-08　　Search: K8S 点击:(347)　　评论:(0)　　加入收藏

Wasm的野心：取代K8s，不如结合K8s

作者丨B. Cameron Gain编译丨诺亚出品 | 51CTO技术栈（微信号：blog51cto）虽然WebAssembly (Wasm)已被证明在浏览器和某些有针对性的服务器部署中可以很好地工作，但允许开发人员“...【详细内容】

2023-11-07　　Search: K8S 点击:(376)　　评论:(0)　　加入收藏

在本地 K8s 中轻松部署自签 TLS 证书

随着互联网的飞速发展，安全性日益成为我们关注的焦点。HTTPS 已从一项奢侈的技术逐渐成为现代网络交互的标准。它不仅仅是保护信息的重要工具，更是实现信任和品质的象征...【详细内容】

2023-11-03　　Search: K8S 点击:(258)　　评论:(0)　　加入收藏

K8s-服务网格实战-入门Istio

背景终于进入大家都比较感兴趣的服务网格系列了，在前面已经讲解了：如何部署应用到 kubernetes 服务之间如何调用如何通过域名访问我们的服务如何使用 kubernetes 自带的配...【详细内容】

2023-11-01　　Search: K8S 点击:(233)　　评论:(0)　　加入收藏

▌简易百科推荐

网络安全行业的春天何时来?

2023年下半年开始，网络安全从业人员都感受到了网安行业的寒冬，但是其实前奏并不是此刻，只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】

2024-04-11　　兰花豆说网络安全　　　　Tags:网络安全　点击:(8)　　评论:(0)　　加入收藏

数据可视化在网络安全中的关键作用

在当今数字化时代，网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽，传统的网络安全防护措施已难以满足需求，急需新型的解决方案以增强网络防...【详细内容】

2024-03-29　　小嵩鼠　　　　Tags:数据可视化　点击:(22)　　评论:(0)　　加入收藏

AI时代的网络安全：探索AI生成的网络攻击

译者 | 晶颜审校 | 重楼长期以来，网络攻击一直是劳动密集型的，需要经过精心策划并投入大量的人工研究。然而，随着人工智能技术的出现，威胁行为者已经成功利用它们的能力，以非凡的...【详细内容】

2024-03-27　　　　51CTO　　Tags:网络安全　点击:(17)　　评论:(0)　　加入收藏

详解渗透测试和漏洞扫描的开源自动化解决方案

译者 | 刘涛审校 | 重楼目录什么是渗透测试规划和侦察扫描开发和获得访问权限维持访问权报告和控制什么是漏洞扫描渗透测试工具渗透测试的自动化渗透自动化工作流...【详细内容】

2024-02-27　　　　51CTO　　Tags:渗透测试　点击:(35)　　评论:(0)　　加入收藏

如何保护你的电脑不受黑客攻击

在数字时代，网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生，使得我们的个人隐私和财产安全面临严重威胁。那么，如何保护你的电脑不受...【详细内容】

2024-02-04　　佳慧慧　　　　Tags:黑客攻击　点击:(55)　　评论:(0)　　加入收藏

2024年需要高度关注的六大网络安全威胁

译者 | 晶颜审校 | 重楼创新技术（如生成式人工智能、无代码应用程序、自动化和物联网）的兴起和迅速采用，极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】

2024-01-03　　　　51CTO　　Tags:网络安全威胁　点击:(113)　　评论:(0)　　加入收藏

终端设备通信网络安全防护方案

终端设备的网络安全是一个综合性问题，需要用户、组织和厂商共同努力，采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面：1. 强化用户身份...【详细内容】

2024-01-01　　若水叁仟　　　　Tags:网络安全　点击:(58)　　评论:(0)　　加入收藏

深入解析802.1X认证：网络安全的守护者

802.1X认证，对于很多人来说，可能只是一个陌生的技术名词。然而，在网络安全的领域中，它却扮演着守护者的角色。今天，我们就来深入解析802.1X认证，看看它是如何保护我们的网络安全的...【详细内容】

2023-12-31　　韦希喜　　　　Tags:网络安全　点击:(71)　　评论:(0)　　加入收藏

提升网络安全：ADSelfService Plus多重身份验证的关键

在当今数字化的时代，网络安全问题愈发突出，企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁，越来越多的组织开始采用多层次的安全措施，其中多重身份验证成为了关键...【详细内容】

2023-12-27　　运维有小邓　　　　Tags:网络安全　点击:(88)　　评论:(0)　　加入收藏

企业如何应对网络钓鱼攻击的激增？

随着我们进入数字时代，网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中，网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】

2023-12-19　　　　千家网　　Tags:钓鱼攻击　点击:(90)　　评论:(0)　　加入收藏

推荐资讯

特斯拉官宣2024春季系	刘强东数字人直播带货
刘强东带火的数字人直	一文看懂：华为Pura 70
李彦宏新目标，押注AI原	工信部：加快6G、万兆光
万达电影正式易主实控	提高Windows操作系统