Microsoft waarschuwt voor cryptomining-aanvallen gericht op Kubeflow

Microsoft waarschuwt dat hackers hun pijlen gericht hebben op Kubeflow, een machine learning-toolkit voor Kubernetes. Hackers gebruiken de tool om cryptominingcode te installeren. 

De aanvallen werden voor het eerst ontdekt in april. Hackers richten zich speciaal op Kubernetes-nodes die Kubeflow draaien. Aan de nodes zelf passen ze weinig aan. In plaats daarvan veranderen hackers juist de instellingen. 

In een blog post legt Yossi Weizman, software engineer voor beveiligingsonderzoek bij het Azure Security Center, uit hoe de acties voor het eerst werden ontdekt. Het ASC-team bekeek de toepassing van een verdachte afbeelding van een openbare repository op veel verschillende clusters. De afbeelding bevatte een XMRIG-miner. Deze cryptocurrencyminer maakt misbruik van CPU-middelen om te minen naar de Monero cryptocurrency. 

Standaardinstelling uitgeschakeld

De hackers krijgen toegang tot Kubeflow via Istio ingress, een portaal dat zich aan de rand van het cluster-netwerk bevindt. De standaardinstelling houdt dit soort aanvallen tegen door toegang te blokkeren voor bronnen afkomstig van het internet. Hierdoor krijgen deze bronnen geen toegang tot het dashboard en zijn ze niet in staat om onbevoegde veranderingen aan te brengen. Bij de aangevallen systemen hebben gebruikers de standaard beveiligingsinstelling zelf uitgeschakeld. 

“We denken dat sommige gebruikers de instelling uitschakelden voor het gemak. Zonder de actie was toegang tot het dashboard alleen mogelijk door tuneling via de Kubernetes API-server.” Zo verklaart Weizman. Door de dienst open te stellen aan het internet, krijgen gebruikers direct toegang tot het dashboard. Het nadeel is dat de toegang tot het Kubeflow dashboard minder veilig is. Hierdoor kan iedereen handelingen uitvoeren in Kubeflow, waaronder het toevoegen van containers in een cluster. Om de hackers uit te sluiten, beveelt Weizman aan om het dashboard niet bloot te stellen aan het internet.

Populairder wordende aanvallen

Cryptojacking blijft een populaire vorm van aanvallen onder hackers. “Organisaties moeten zich bewust zijn van de registers waaruit gebruikers en clusters kunnen downloaden”, vertelt Wei Lien Dang, co-founder van Kubernetes beveiligingsplatform StackRox in een interview aan SiliconANGLE

Volgens Lieng Dang moeten organisaties besloten en vertrouwde registers gebruiken. Ook moet er een veilige lijst komen voor toegestane afbeeldingen. Daarnaast moeten er maatregelen worden genomen om de bron van bestanden te controleren. Als Kubernetes clusters groter en krachtiger worden, worden ze alleen maar aantrekkelijker voor dit soort aanvallen. Organisaties moeten de nodige stappen nemen om hun containers en Kubernetes-middelen te beschermen.