• Votre panier est vide.

  • LOGIN

Kubernetes RBAC exploité dans une campagne à grande échelle pour l’extraction de crypto-monnaie


Certains articles de veille peuvent faire l'objet de traduction automatique.


21 avril 2023Ravie LakshmananKubernetes / Crypto-monnaie

Une campagne d’attaque à grande échelle découverte dans la nature a exploité le contrôle d’accès basé sur les rôles Kubernetes (K8s) (RBAC) pour créer des portes dérobées et exécuter des mineurs de crypto-monnaie.

« Les attaquants ont également déployé DaemonSets pour prendre le contrôle et détourner les ressources des clusters K8 qu’ils attaquent », a déclaré la société de sécurité cloud Aqua dans un communiqué. rapport partagé avec The Hacker News. La société israélienne, qui a surnommé l’attaque RBAC Bustera déclaré avoir trouvé 60 clusters K8 exposés qui ont été exploités par l’acteur menaçant à l’origine de cette campagne.

La chaîne d’attaque a commencé avec l’accès initial de l’attaquant via un serveur API mal configuré, suivi de la recherche de preuves de logiciels malveillants mineurs concurrents sur le serveur compromis, puis de l’utilisation de RBAC pour configurer la persistance.

« L’attaquant a créé un nouveau ClusterRole avec des privilèges proches du niveau administrateur », a déclaré la société. « Ensuite, l’attaquant a créé un ‘ServiceAccount’, ‘kube-controller’ dans l’espace de noms ‘kube-system’. Enfin, l’attaquant a créé un ‘ClusterRoleBinding’, liant le ClusterRole au ServiceAccount pour créer une persistance forte et discrète. »

Lors de l’intrusion observée contre ses pots de miel K8, l’attaquant a tenté de militariser les clés d’accès AWS exposées pour s’implanter dans l’environnement, voler des données et échapper aux limites du cluster.

RBAC Kubernetes

La dernière étape de l’attaque a consisté pour l’auteur de la menace à créer un DaemonSet pour déployer une image de conteneur hébergée sur Docker (« kuberntesio/kube-controller:1.0.1 ») sur tous les nœuds. Le conteneur, qui a été retiré 14 399 fois depuis son téléchargement il y a cinq mois, abrite un mineur de crypto-monnaie.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

« L’image du conteneur nommée ‘kuberntesio/kube-controller’ est un cas de typosquattage qui se fait passer pour le compte ‘kubernetesio’ légitime », a déclaré Aqua. « L’image imite également l’image de conteneur populaire » kube-controller-manager « , qui est un composant essentiel du plan de contrôle, s’exécutant dans un pod sur chaque nœud maître, responsable de la détection et de la réponse aux défaillances de nœud. »

Fait intéressant, certaines des tactiques décrites dans la campagne présentent des similitudes avec une autre opération illicite de minage de crypto-monnaie qui a également profité de DaemonSets pour frapper Dero et Monero. Il n’est actuellement pas clair si les deux séries d’attaques sont liées.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

avril 21, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)