TTL OSINT

15.07.2024 176 3 мин.

Открытый доступ к Kubernetes: Использование API Kubelet

API Kubelet, важнейший компонент кластеров Kubernetes, управляет модулями и их контейнерами на каждом узле. Хотя он обычно не предназначен для прямого взаимодействия с пользователем, многие команды DevOps могут использовать API Kubelet для отладки и прямого взаимодействия с узлами. Однако доступ к общедоступному Интернету через API Kubelet с одновременной поддержкой анонимных запросов без проверки подлинности может привести к серьезным последствиям для безопасности, включая несанкционированный доступ и потенциальную утечку данных. В этом блоге авторы описывают реальные атаки, которые они наблюдали с помощью своей системы honeypot, освещая методы, которые злоумышленники используют для кражи секретов и получения полного контроля над кластерами. Они также дают рекомендации по защите кластеров Kubernetes от таких атак и обеспечению надежной системы безопасности. API Kubelet взаимодействует с системой управления Kubernetes, чтобы гарантировать, что контейнеры работают должным образом. По умолчанию API Kubelet недоступен в Интернете и служит внутренним недокументированным API. Чтобы напрямую взаимодействовать с API Kubelet, вам необходимо выполнить следующие действия:1. Предоставить доступ к API Kubelet в общедоступном Интернете.2. Разрешить анонимные запросы к API, не прошедшие проверку подлинности.Когда это происходит и API Kubelet выходит в общедоступный Интернет, это может представлять серьезные угрозы безопасности, такие как несанкционированный доступ, потенциальное использование уязвимостей и утечка данных. Авторы рассматривают атаки, задокументированные их инструментами мониторинга, которые включают сбор подробной информации о конфигурации сети и настройках брандмауэра, изменение или отключение правил брандмауэра и сканирование внутренней сети на предмет потенциальных уязвимостей. Авторы также обсуждают кампании "f" Gang и TeamTNT, которые нацелены на API Kubelet и используют различные методы для получения несанкционированного доступа к кластерам. Кампания "f" Gang предполагает загрузку и выполнение вредоносного скрипта, в то время как кампании TeamTNT стартуют в 2021 году и нацелены на API-интерфейсы Docker и Kubernetes, включая API Kubelet.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.aquasec.com/kubernetes-exposed-exploiting-the-kubelet-api

Примеры признаков компромисса:

• 86f2790c04ccd113a564cc074efbcdfd

Источник: TTL OSINT