מחקר: כלי ממשק המשתמש בסביבת הענן קוברנטיס הופכים לנשק חם
מאת:
מערכת Telecom News, 27.3.22, 15:04
ממשקי המשתמש בקוברנטיס הם כלים שימושיים, שמטרתם לספק למפתחים נראות מקסימלית.
אלו כלי ממשק המשתמש בקובנרטיס חשופים למתקפות זדוניות וגורמות נזק לארגון? כיצד ניתן למתן את הסיכונים?
במשך שנים רבות, תוקפים במרחב הסייבר עושים שימוש זדוני בקמפיינים שלהם בכלים לגיטימיים המאפשרים גישה מרחוק (
RATs), באמצעות שידול משתמשים להתקין אותם בתואנות, שבכוונתם לסייע מרחוק לפתור בעיות תוכנה. לפני כשנה
למדנו כי באופן דומה תוקפים בסביבת ענן החלו לנצל כלים לגיטימיים לצורך תקיפה, כשהם עושים שימוש בכלי ממשק משתמש (
UI) כדי לקבל גישה לתוכנת הקוד הפתוח בסביבות ענן (
Docker או
Kubernetes).
כלי ממשק המשתמש בקובנרטיס חשופים למתקפות זדוניות
ישנם יישומים רבים המשמשים ככלי ממשק משתמש בקובנרטיס. חלק מהם, כמו
cAdvisor וכמו
Kubernetes Operational View, מאפשרים צפייה בסביבה בלבד, אך אחרים מאפשרים גישה ושליטה.
חוקרי אבטחת המידע של
אקווה סקיוריטי, שמפתחת פתרונות בתחום אבטחת סביבות
Cloud Native, בחנו שגיאות בהגדרות התצורה של כלי ממשק משתמש של קוברנטיס, שנגישים בדפדפן במרחב המקוון, תוך התמקדות ב-3 כלי ממשק מרכזיים.
הנחת המוצא של צוות המחקר הייתה, שכל כלי ממשק המשתמש החשופים שיתגלו יימצאו כמלכודת דבש (
Honeypot) של חברות אבטחת מידע (פרקטיקה נפוצה המבוצעת גם ע"י צוות המחקר של אקווה). בפועל התגלו סביבות בעלות סממנים המעידים על סביבת עבודה אמיתית של חברות, וכמה מהן אף נוצלו באופן פעיל ע"י תוקפים.
אלה הכלים שנבדקו במסגרת המחקר:
Weave Scope - כלי תצוגה וניטור עבור
Docker וקוברנטיס המאפשר גישה בזמן אמת ליישומים, תשתיות ונתונים ומספק אבחון בעיות. כדי לאתר מכונות בעלות ממשק משתמש של כלי זה החשוף למרחב המקוון, נעשה שימוש ב-
Shodan, מנוע חיפוש למכשירים המחוברים לאינטרנט, שאיתר 58 ממשקי משתמש.
לאחר סינון והסרת תוצאות לא רלוונטיות וממשקים מוגנים בסיסמה, נותרו
10 שסומנו כחשופים לאינטרנט. ממשקי משתמש אלה אפשרו לתוקפים לקבל נראות מלאה על סביבת הקוברנטיס שלהם.
Kubernetes Dashboard - ממשק משתמש מבוסס רשת המיועד עבור
קוברנטיס במסגרתו המשתמש יכול לנטר עומסי עבודה הפועלים במקביל ביישום אחד. במסגרת החיפוש שנעשה איתר צוות המחקר 2,073 ממשקים ולאחר סינון התוצאות נמצאו 27 ממשקי משתמש המאפשרים גישה חשופה לאינטרנט ללא דרישה לאימות משתמש.
סביבות חשופות אלו מאפשרות לתוקפים לאתר דרך ממשק המשתמש של הקוברנטיס סיסמאות הנגישות בקלות לתוקפים. חלקן עלולות לגרום נזק לארגון, משום שהן עלולות לאפשר גישה למסדי נתונים, לחשבון הענן וכד'. וקטור ההתקפה הזה אינו חדש. בעבר, חברות כמו יצרנית הרכב טסלה הותקפו באמצעות תצורות שגויות בממשק המשתמש
Kubernetes Dashboard.
Octant - זהו ממשק רשת מבוסס קוד פתוח לבדיקת מערכות ויישומים של קונברנטיס. ממשק זה מייצר נראות ברורה בתוך אשכולות הפעילות של סביבת הקוברנטיס, מאתר באגים, ומאפשר אינטראקציה באמצעות ממשק שורת פקודה (
Command Line Interface).
בחיפוש הראשוני, שנעשה במסגרת המחקר, אותרו 9 ממשקי משתמש חשופים לאינטרנט, כאשר 4 מתוכם אפשרו גישה מלאה ללא אימות משתמש. לדעת החוקרים במקרה זה כולם היו מלכודת דבש, אך במידה ולא כך היה הדבר, תוקפים, שמקבלים גישה לסביבה כזו, עלולים להסב נזק משמעותי לארגון.
כיצד ניתן למתן את הסיכונים הללו?
ממשקי המשתמש בקוברנטיס הם כלים שימושיים, שמטרתם לספק למפתחים נראות מקסימלית. חלקם, כגון הכלים, שהוצגו כאן, מאפשרים גישה מלאה לשרת לרבות הרצת פקודות. בכל מקרה של שגיאות בהגדרות התצורה של התוכנה, באופן המאפשר גישה לממשק המשתמש באמצעות האינטרנט וללא סיסמה חזקה, שתמנע כניסה של גורמים זדוניים, הארגון עלול להישאר חשוף למתקפות חמורות, שיעניקו לתוקפים שליטה מלאה על סביבת הארגון.
מגוון הטכניקות בהן משתמשים הגורמים המאיימים מדגיש עד כמה וקטור ההתקפה הזה הפך לפופולרי בתקופה האחרונה. בתוך כך, פעולות הקשחה ותצורה נכונה של שירותי ענן יכולות לצמצם משמעותית את שטח ההתקפה הפוטנציאלי ולמנוע מתקפות המכוונות לכלי ממשק המשתמש בעלי הגדרות תצורה שגויות בסביבת הקוברנטיס.
אסף מורג, (בתמונה משמאל), מצוות המחקר באקווה סקיוריטי: "כדי להתגונן מפני איומים מסוג זה, חשוב לעקוב אחר נהלי האבטחה הרלבנטיים לכלים השונים, שתומכים במערכות סביבות ענן, כמו קוברנטיס בכלל וכלים המאפשרים הרצת קוד בפרט.
לכל ארגון מומלץ לייצר רשימה של מערכות מורשות, שנבדקו ונמצאו מתאימות לפעילות הארגון בענן תוך הקפדה מתמשכת, שהן
נקיות מתוכנות זדוניות וחולשות.
חשוב לוודא, שההתקנה והגדרות התצורה של התוכנות השונות, שתומכות בטכנולוגיות ענן, תבוצענה ע"י
גורמים מוסמכים המודעים לסכנות אבטחת המידע ולהשלכות השימוש בכל תוכנה״.