Microsoft dijo que descubrió un nuevo vector de ataque contra las cargas de trabajo de Kubernetes que involucra a Kubeflow, un kit de herramientas de aprendizaje automático para Kubernetes. Según Yossi Weizman, un investigador de seguridad del Centro de Seguridad Azure de Microsoft, los ataques han estado ocurriendo desde abril de 2020 y su objetivo es instalar malware de criptojacking en grupos de Kubernetes que ejecutan instancias de Kubeflow expuestas a Internet.
El investigador dijo que la compañía ha observado ataques "en decenas de grupos de Kubernetes" que ejecutan Kubeflow.
“Los nodos que se usan para tareas de ML a menudo son relativamente potentes y, en algunos casos, incluyen GPU. Este hecho hace que los clústeres de Kubernetes que se utilizan para tareas de ML sean un objetivo perfecto para las campañas de cripto minería, que era el objetivo de este ataque ", según el informe.
En abril, los investigadores descubrieron una imagen sospechosa (ddsfdfsaadfs / dfsdf: 99) de un repositorio público implementado en muchos grupos. El análisis reveló que esta imagen contenía un minero XMRIG, una herramienta de minería de criptomonedas Monero. Microsoft dice que además de la imagen mencionada anteriormente, el repositorio público también contenía varias imágenes más con diferentes configuraciones de minería.
Los investigadores creen que el punto de entrada para los ataques son instancias de Kubeflow mal configuradas. Los usuarios a menudo cambian la configuración predeterminada de Kubeflow por conveniencia, lo que expone el panel de administración del kit de herramientas en Internet. De forma predeterminada, el panel de administración de Kubeflow solo está expuesto internamente y es accesible desde el interior del clúster de Kubernetes.
“En algunos casos, los usuarios modifican la configuración del Servicio Istio en Load-Balancer que expone el Servicio (puerta de entrada de istio en el sistema de istio del espacio de nombres) a Internet. Creemos que algunos usuarios optaron por hacerlo por conveniencia: sin esta acción, el acceso al tablero requiere un túnel a través del servidor API de Kubernetes y no es directo ”, explicó Microsoft.
“Al exponer el Servicio a Internet, los usuarios pueden acceder al tablero directamente. Sin embargo, esta operación permite el acceso inseguro al panel de control de Kubeflow, lo que permite a cualquier persona realizar operaciones en Kubeflow, incluida la implementación de nuevos contenedores en el clúster ”, agregó la compañía.
En los ataques observados, los actores de amenazas utilizaron tableros de instrumentos expuestos para obtener acceso al clúster e instalar el minero de criptomonedas.
“Azure Security Center ha detectado múltiples campañas contra clústeres de Kubernetes en el pasado que tienen un vector de acceso similar: un servicio expuesto a Internet. Sin embargo, esta es la primera vez que identificamos un ataque que se dirige específicamente a los entornos de Kubeflow ", dijo Microsoft.
