近日,阿里云应急响应中心监测到国外某安全团队披露了一起针对Kubernetes集群中的机器学习工具包Kubeflow的挖矿事件。黑客通过Kubeflow未授权访问漏洞,可以远程执行命令并控制服务器。
漏洞描述
Kubernetes是一款开源的容器编排引擎,Kubeflow功能可通过连接到仪表板的API服务器使用,用户可利用该仪表板来管理其任务。默认情况下,Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用,但部分用户将Istio服务修改为Load-Balancer,从而导致Kubeflow仪表板可以通过互联网进行访问。攻击者通过Kubeflow未授权访问漏洞,可以部署恶意容器等,从而远程执行命令并控制服务器。漏洞实际利用需要用户更改默认配置,为彻底防止漏洞风险,阿里云应急响应中心提醒Kubeflow用户尽快及时自查并采取安全措施以阻止漏洞攻击。
安全建议
1. 确认Kubernetes集群中没有被部署恶意容器服务。可以通过以下命令进行检查:
kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}” | grep -i ddsfdfsaadfs
2. 确保Istio服务不是具有公网IP的Load-Balancer,即Kubeflow仪表盘不直接对公网开放。可以通过以下命令检查
kubectl get service istio-ingressgateway -n istio-system
阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测
参考链接
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单或服务电话95187联系反馈。
阿里云应急响应中心
2020.6.14