Remote Access Tool in der Cloud
Container-Sicherheit erhöhen
Fortsetzung des Artikels von Teil 1
Untersuchung Teil 2
3. Untersuchung von Octant-Dashboard
Als drittes und letztes Tool untersuchten die Forscher von Team Nautilus verwundbare Octant-Dashboards. Octant ist eine Open-Source-Web-Schnittstelle für die Inspektion eines Kubernetes-Clusters und seiner Anwendungen. Sie ermöglicht neben dem Einblick in Cluster auch Debugging und Streaming von Container-Protokollen sowie die Interaktion über eine Befehlszeilenschnittstelle. Über Shodan fanden die Forscher neun potenziell gefährdete Ergebnisse. Nach der Entfernung der irrelevanten Treffer und passwortgeschützten Dashboards blieben vier übrig. Diese erforderten keine Benutzerauthentifizierung und machten die Umgebung für Angriffe anfällig. In diesem Fall handelte es sich jedoch ausschließlich um Honeypots, die IT-Sicherheitsforscher als virtuelle Falle eingerichtet haben, um Angreifer anzulocken. Mit einem ungeschützten Octant-Dashbard könnten Angreifer etwa eine Shell-Verbindung zu einem laufenden Pod öffnen, Container starten und Bereitstellungen ändern.
Risikominderung und Best-Practices
Da Cloud-native Infrastrukturen immer häufiger zum Einsatz kommen, zielen Angreifer ebenfalls häufiger auf diese Stacks. Leichter machen es ihnen Instanzen, die aufgrund menschlicher Fehler oder mangelnder Kenntnisse der Administratoren nach erstmals korrekter Einstellung manuell falsch konfiguriert sind. Die korrekte Konfiguration von Cloud-Diensten kann die potenzielle Angriffsfläche erheblich reduzieren und Angriffe auf falsch konfigurierte Kubernetes-Cluster verhindern. Um eine Organisation vor solchen Bedrohungen zu schützen, ist es wichtig, diese bewährten Verfahren für die Kubernetes-Sicherheit zu befolgen:
- In erster Linie sollten die IT-Verantwortlichen Verwaltungs-Tools nicht als öffentlichen Dienst betreiben. Sie sollten diese stattdessen so einrichten, dass sie vom Localhost aus bedient werden. Zudem sollte man Tools wie Scope nur im Lese-Modus ausführen und keine Administratorrechte gewähren.
- Auch sollte man eine Erlaubnisliste mit Images erstellen, die getestet, überprüft und regelkonform sind – frei von Schadsoftware und Sicherheitslücken.
- Wenn eine IT-Abteilung derzeit keine Kubernetes-UI-Tools verwendet, ist es am besten, die Aktivierung dieser Werkzeuge während der Laufzeit zu begrenzen.
Fazit
Die Dashboards der Kubernetes-Benutzeroberfläche sind nützlich, Entwicklerteams einen Überblick über ihre Cluster zu verschaffen. Ein falsch konfiguriertes RAT kann eine Organisation jedoch schwerwiegenden Attacken aussetzen und Angreifern die volle Kontrolle über eine Container-Umgebung geben. Die Vielfalt der Techniken, die Bedrohungsakteure einsetzen, unterstreicht, wie beliebt dieser Angriffsvektor ist. Abgesehen von einigen Honeypot-Dashboards, die IT-Sicherheitsforschern als virtuelle Falle eingerichtet haben um Angreifer anzulocken, wiesen einige der von Team Nautilus aufgedeckten Benutzerschnittstellen Anzeichen von realen Umgebungen auf. Unternehmen sollten sich der Gefahr kompromittierter RATs bewusst sein und grundlegende Best Practices für die Verwaltung dieser Benutzerschnittstellen beachten.
Arne Jacobsen ist Regional Director EMEA bei Aqua Security.
- Container-Sicherheit erhöhen
- Untersuchung Teil 2
Lesen Sie mehr zum Thema
