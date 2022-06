Il bénéficie d'une adoption et d'une croissance massives grâce à son évolutivité, sa flexibilité dans les environnements multi-clouds, sa portabilité, sa réduction des coûts, du développement d'applications et du temps de déploiement du système.Toutefois, si Kubernetes n'est pas configuré correctement, des acteurs distants peuvent avoir accès à des ressources internes et à des actifs privés qui ne sont pas censés être rendus publics.De plus, en fonction de la configuration, les intrus peuvent parfois élever leurs privilèges à partir des conteneurs pour rompre l'isolation et passer aux processus hôtes, ce qui leur donne un accès initial aux réseaux internes de l'entreprise pour des attaques ultérieures.Les chercheurs de Cyble ont mené un exercice visant à localiser les instances Kubernetes exposées sur Internet, en utilisant des outils d'analyse et des requêtes de recherche similaires à ceux employés par les acteurs malveillants.Les résultats montrent qu'il existe 900 000 serveurs Kubernetes, dont 65 % (585 000) sont situés aux États-Unis, 14 % en Chine, 9 % en Allemagne, 6 % aux Pays-Bas et 6 % en Irlande.Parmi les serveurs exposés, les ports TCP les plus exposés étaient "443", avec un peu plus d'un million d'instances, "10250" comptant 231, 200, et "6443" avec 84 400 résultats.Il est essentiel de souligner que tous ces clusters exposés ne sont pas exploitables, et même parmi ceux qui le sont, le niveau de risque varie en fonction de la configuration individuelle.Pour évaluer combien d'instances exposées pourraient présenter un risque important, Cyble a examiné les codes d'erreur renvoyés aux requêtes non authentifiées à l'API Kubelet.La grande majorité des instances exposées renvoient le code d'erreur 403, ce qui signifie que la demande non authentifiée est interdite et ne peut pas aboutir, de sorte qu'aucune attaque ne peut être lancée contre elles.Il existe ensuite un sous-ensemble d'environ cinq mille instances qui répondent par le code d'erreur 401, indiquant que la demande n'est pas autorisée.Cependant, cette réponse donne à un attaquant potentiel un indice que le cluster fonctionne, et il pourrait essayer des attaques supplémentaires basées sur des exploits et des vulnérabilités.Enfin, il y a un petit sous-ensemble de 799 instances Kubernetes qui renvoient un code d'état 200, qui sont complètement exposées aux attaquants externes.Dans ces cas, les acteurs de la menace peuvent accéder aux nœuds sur le tableau de bord Kubernetes sans mot de passe, accéder à tous les secrets, effectuer des actions, etc.Si le nombre de serveurs Kubernetes vulnérables est assez faible, il suffit qu'une vulnérabilité exploitable à distance soit découverte pour qu'un nombre bien plus important de dispositifs deviennent vulnérables aux attaques.Pour vous assurer que votre cluster ne fait pas partie de ces 799, ou même de l'ensemble moins gravement exposé des 5 000 instances, consultez les conseils de la NSA et du CISA sur le renforcement de la sécurité de votre système Kubernetes.Le mois dernier, la Fondation Shadowserver a publié un rapport sur les instances Kubernetes exposées dans lequel elle a découvert 381 645 adresses IP uniques répondant avec un code d'erreur HTTP 200.Cyble a déclaré que la raison de cet écart important est qu'ils ont utilisé des scanners open-source et des requêtes simples qui seraient à la disposition de n'importe quel acteur de la menace, alors que Shadowserver a scanné l'ensemble de l'espace IPv4 et surveillé les nouveaux ajouts quotidiennement.", explique Cyble.Le Shadowserver adopte une approche différente pour trouver l'exposition, comme l'indique son blog sur Kubernetes : "."Alors que les chiffres de Cyble ne sont peut-être pas aussi impressionnants, ils sont très importants du point de vue que ces chiffres correspondent à des clusters Kubernetes qui sont très faciles à localiser et à attaquer.Source : Cyble Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?