Und täglich grüßt das Murmeltier. So heißt das Motto in den Security-Labs von Sicherheitsherstellern, denn sie entdecken fast täglich schwere Sicherheitslücken in IT-Systemen und erleben die immer selben Reaktionen seitens betroffener Unternehmen. Gar keine im schlimmsten Fall oder - mit nicht minder schweren Konsequenzen - "eine erste Reaktion, nämlich Gleichgültigkeit", berichtet Assaf Morag, leitender Threat Intelligence Analyst bei Aqua Nautilus.

Ferner wird abgewiegelt, als der Experte näher auf die von seinem Team gefundenen Sicherheitslücken hinweist:  "Viele sagten, dass ihre Cluster 'nur Staging- oder Testumgebungen' seien. Als wir ihnen jedoch das volle Potenzial eines Angriffs aus der Sicht eines Angreifers und die potenziell verheerenden Auswirkungen auf ihre Organisationen vor Augen führten, waren sie alle schockiert und haben das Problem sofort gelöst." Schockiert war auch Morag, nämlich über den Mangel an Verständnis und fehlendes Bewusstsein für die Risiken von Fehlkonfigurationen und deren Auswirkungen.

Was war passiert?

Die mehrmonatige Forschung von Aquas Research-Team "Nautilus" hatte eine bemerkenswerte Untergruppe von Clustern identifiziert, die mit großen Konglomeraten und Fortune-500-Unternehmen verbunden waren und mindestens 60 Prozent davon angegriffen wurden. Die Experten fanden Malware und Backdoors. Die Sicherheitslücken waren auf zwei Fehlkonfigurationen zurückzuführen, was verdeutliche, wie bekannte und unbekannte Fehlkonfigurationen in freier Wildbahn aktiv ausgenutzt werden und katastrophale Folgen haben können, berichtet Aquas.

Bekannte Fehlkonfigurationen ermöglichen Zugriff auf Privilegien

In der Untersuchung weist Nautilus auf eine bekannte Fehlkonfiguration hin, die anonymen Zugriff mit Privilegien ermöglicht. Das zweite weniger bekannte Problem war eine Fehlkonfiguration des 'kubectl-Proxys mit Flags, die die Kubernetes-Cluster unwissentlich dem Internet aussetzten. Zu den betroffenen Hosts gehörten laut Aquas Organisationen aus einer Vielzahl von Branchen, darunter Finanzdienstleistungen, Luft- und Raumfahrt, Automobilbau, Industrie und Sicherheit.

Am besorgniserregendsten waren die Open-Source-Projekte und ahnungslose Entwickler, die versehentlich einem bösartigen Paket vertrauen und es herunterladen konnten. "Wenn ein solches kompromittiert wird, könnte es einen Infektionsvektor in der Software Supply Chain auslösen, der sich auf Millionen von Nutzern auswirkt," so die Experten

Laufende Kampagnen gegen Kubernetes-Cluster

Nautilus fand heraus, dass etwa 60 Prozent der Cluster aktiv von Kryptominern angegriffen wurden, und schuf die erste bekannte Kubernetes-Honeypot-Umgebung, um weitere Daten über diese Angriffe zu sammeln und Licht in diese laufenden Kampagnen zu bringen.

Zu den wichtigsten Erkenntnissen gehört, dass Nautilus die kürzlich gemeldete neuartige und äußerst aggressive Silentbob-Kampagne entdeckte, die das Wiederaufleben von TeamTNT auf Kubernetes-Cluster offenbart.

Die Forscher entdeckten auch eine RBAC-Buster-Kampagne (rollenbasierte Zugriffskontrolle) zur Schaffung einer versteckten Hintertür sowie Kryptomining-Kampagnen, einschließlich einer umfangreicheren Ausführung der zuvor entdeckten Dero-Kampagne mit zusätzlichen Container-Images, die insgesamt Hunderttausende von Pulls umfassten.

Nautilus kontaktierte die Cluster-Besitzer und konnte immerhin jene aufklären, die sich offen zeigten und die Sicherheitsrisiken schließen wollten.

Maßnahmen zur Absicherung gegen Fehlkonfigurationen

Nautilus empfiehlt die Nutzung nativer Kubernetes-Funktionen wie RBAC und Richtlinien zur Zugangskontrolle, um Privilegien zu begrenzen und Richtlinien durchzusetzen, die die Sicherheit erhöhen. Sicherheitsteams können auch regelmäßige Audits von Kubernetes-Clustern implementieren, um Anomalien zu erkennen und schnelle Abhilfemaßnahmen zu ergreifen.

Open-Source-Tools wie Aqua Trivy, Aqua Tracee und Kube-Hunter können beim Scannen von Kubernetes-Umgebungen hilfreich sein, um Anomalien und Schwachstellen zu erkennen und Exploits in Echtzeit zu verhindern. "Durch den Einsatz dieser und anderer Abhilfestrategien können Unternehmen ihre Kubernetes-Sicherheit erheblich verbessern und sicherstellen, dass ihre Cluster vor gängigen Angriffen geschützt sind," so die Experten.

Weckruf für Kubernetes-Sicherheit

In den falschen Händen könne der Zugriff auf einen Kubernetes-Cluster eines Unternehmens "das Ende des Unternehmens bedeuten", warnt Assaf Morag. Proprietärer Code, geistiges Eigentum, Kundendaten, Finanzdaten, Zugangsdaten und Verschlüsselungsschlüssel gehören zu den vielen sensiblen Vermögenswerten, die gefährdet seien. "Da Kubernetes in den letzten Jahren aufgrund seiner unbestreitbaren Fähigkeiten bei der Orchestrierung und Verwaltung von containerisierten Anwendungen bei Unternehmen enorm an Beliebtheit gewonnen hat, vertrauen Unternehmen ihren Clustern hochsensible Informationen und Token an. Die nun von Aquas veröffentlichte Forschung sei für den Manager "ein Weckruf für die Bedeutung der Kubernetes-Sicherheit," so Morag

Die vollständigen Ergebnisse und eine Liste von Empfehlungen zur Risikominderung hat Aquas in seinem Blog veröffentlicht.