Microsoft descubre criptomonedas secuestrando pandillas de clústeres de Kubernetes centrados en ML


kubeflow.png

Microsoft ha publicado hoy un informe que detalla una serie de ataques nunca antes vistos contra Kubeflow, un conjunto de herramientas para ejecutar operaciones de aprendizaje automático (ML) en la parte exceptional de los grupos de Kubernetes.

Los ataques han estado ocurriendo desde abril de este año, y Microsoft dice que su objetivo remaining ha sido instalar un minero de criptomonedas en los grupos de Kubernetes que ejecutan instancias de Kubeflow expuestas a World wide web.

Según Yossi Weizman, investigador de seguridad del Centro de seguridad Azure de Microsoft, la compañía ha detectado este tipo de ataques contra «decenas de grupos de Kubernetes» que ejecutan Kubeflow.

Pero si bien el número de grupos secuestrados es pequeño en comparación con los ataques anteriores de Kubernetes, las ganancias para los delincuentes y las pérdidas financieras para los propietarios de servidores son muy superiores a otros ataques vistos anteriormente.

«Los nodos que se utilizan para tareas de ML a menudo son relativamente potentes y, en algunos casos, incluyen GPU», explicó Weizman.

«Este hecho hace que los grupos de Kubernetes que se utilizan para tareas de ML sean un objetivo perfecto para las campañas de cripto minería, que period el objetivo de este ataque».

Los ataques comenzaron en abril de este año.

Microsoft dice que ha estado rastreando estos ataques desde abril cuando los vio ponerse en marcha por primera vez y documentado la primera ola de ataque, antes de que los delincuentes ampliaran su enfoque de instancias de Kubernetes de uso common a clústeres centrados en ML que ejecutan Kubeflow.

A medida que aprendió más de su investigación sobre los primeros ataques, Microsoft ahora dice que cree que el punto de entrada más possible para los ataques son instancias de Kubeflow mal configuradas.

En un informe de hoy, Microsoft dijo que los administradores de Kubeflow probablemente cambiaron la configuración predeterminada de Kubeflow y expusieron el panel de administración del package de herramientas en World-wide-web. De forma predeterminada, el panel de administración de Kubeflow solo está expuesto internamente y es accesible desde el interior del clúster de Kubernetes.

misconfigured-kubeflow.png "height =" auto "width =" 1200 "src =" https://zdnet1.cbsistatic.com/hub/i/r/2020/06/11/f9181990-bb3d-4237-91ac-d4769355f950 /resize/1200xauto/92915dbe7f26f88b80158f144295c146/misconfigured-kubeflow.png

Matriz de amenazas de Kubernetes para los ataques a instancias de Kubeflow

Imagen: Microsoft

Weizman dijo que desde abril, una pandilla de criptominería ha estado escaneando estos paneles, accediendo a los paneles de administración expuestos a World wide web y desplegando nuevas imágenes de servidor en clústeres de Kubeflow, con estas imágenes enfocadas en ejecutar XMRig, una aplicación de minería de criptomonedas Monero.

Cómo detectar Kubeflows pirateados

En caso de que los administradores del servidor deseen investigar sus clústeres para cualquier instancia de Kubeflow pirateada, Weizman proporcionó los siguientes pasos.

  • Verifique que el contenedor malicioso no esté implementado en el clúster. El siguiente comando puede ayudarlo a verificarlo:

kubectl get pods –all-namespaces -o jsonpath = «. goods (*). spec.containers (*). picture» | grep -i ddsfdfsaadfs

  • En caso de que Kubeflow se implemente en el clúster, asegúrese de que su tablero no esté expuesto a Internet: verifique el tipo de servicio de ingreso de Istio con el siguiente comando y asegúrese de que no sea un equilibrador de carga con una IP pública:

kubectl obtener servicio istio-ingressgateway -n istio-process



Enlace a la noticia first