Rootkit, Kubernetes'i Düzenlemeden Yıkmaya Dönüştürüyor - Dünyadan Güncel Teknoloji Haberleri

Rootkit, Kubernetes'i Düzenlemeden Yıkmaya Dönüştürüyor - Dünyadan Güncel Teknoloji Haberleri
“Asıl değişiklik, saldırganların Kubernetes’in bulutta giderek yaygınlaştığını, bununla nasıl başa çıkılacağını, etrafından nasıl dolaşılacağını ve hatta ondan nasıl yararlanılacağını öğrenmesidir” diyor

Lang, “Bu konteynırları ayağa kaldırmak ve yerine yerleştirmek için çekirdekle etkileşime girse de, bundan sonra rootkit bu konteynırlanmış yükleri gizleyebiliyor” diyor

Lang bunun değişeceğini savunuyor ve geleceğe yönelik bir bakış açısıyla kendisi ve Narf Industries’den başka bir güvenlik araştırmacısı Andrew Hughes, kendi Kubernetes kök kitlerini fuarda göstermeyi planlıyor


Yazılım geliştirme sürekli entegrasyon ve dağıtıma odaklandıkça Kubernetes gibi düzenleme platformları yükselişe geçti, ancak bu popülerlik onları saldırganların hedefi haline getirdi

Lang, Sysdig’in kendi bal küpünü çalıştırarak Kubernetes bağlantı noktalarını potansiyel saldırılara açık hale getirdiğini ve genellikle ilk araştırmaların hızla geldiğini söylüyor ”



siber-1

Kubernetes, sunuculardan uygulamalara ve yazılım tanımlı ağlara kadar çok çeşitli iş yüklerini çalıştırabilen sanallaştırılmış yazılım ortamları olan konteynerlerin yapılandırmasını, dağıtımını ve yönetimini (yani “düzenlemeyi”) otomatikleştirmenin popüler bir yoludur ”

Yöneticiler ayrıca kırmızı takımlarından bir grup egzersizi yapmalarını, savunmacılara karşı saldırı yapmalarını ve ardından savunmacılarla birlikte saldırıyı analiz etmelerini istemelidir; bu, mor takım oluşturma olarak adlandırılan bir süreçtir Ancak saldırılar çok daha kötü olabilir; bulut altyapısı güvenlik firması Sysdig’de güvenlik araştırmacısı olan ve önümüzdeki ay Black Hat Avrupa’da bir prototip rootkit sunacak olan Nicholas Lang, Kubernetes kümelerine rootkit’lerin bulaştırılmasının, saldırganlar tarafından kontrol edilen konteyner koleksiyonlarına yol açacağını söylüyor “Rootkit ilk yükün bir parçası… ve sonra, biliyorsunuz, gelecek aşamalar daha karmaşık şeyleri gizlice yapacak çünkü bunlar rootkit tarafından işletim sisteminden gizleniyor Bununla birlikte, yöneticilerin çalışma zamanı sırasında yüklenen çekirdek modüllerine de dikkat edebileceğini ve bunun üretim ortamında olmaması gerektiğini söylüyor Şubat ayında bir saldırgan, yanlış yapılandırılmış bir Kubernetes kümesinin güvenliğini ihlal ederek önce cryptojacking konteynerleri kurdu ve ardından fikri mülkiyet haklarını ve hassas verileri çaldı

Kubernetes Saldırı Altında

Saldırıların yoğunluğu yazılım firmalarını endişelendiriyor Bir ay önce Microsoft araştırmacıları, Kinsing kötü amaçlı yazılımının Kubernetes platformlarındaki kötü yapılandırılmış veritabanı kapsayıcılarını hedeflemeye başladığını keşfetti ”

Belirli bir Linux çekirdeği rootkit’i olsa da, Diamorfin olarak bilinirzaman zaman Kubernetes kümelerini tehlikeye atmak için kullanılmış olsa da Kubernetes odaklı rootkit’ler henüz popüler hale gelmedi

Kubernetes Yöneticilerinin Görünürlüğe İhtiyacı Var

Lang, tipik olarak bir kurbanın, Kubernetes kümesine yapılan bir saldırıyı yakalamak için bir rootkit’in yüklendiğini veya saldırgan tarafından bir güvenlik açığından yararlanıldığını görmesi gerektiğini söylüyor Rootkit’in diğer kapsayıcı yükleri gizleyebileceğini ve işletim sisteminden gizlendikleri için sistemde fark edilmeden daha karmaşık eylemler gerçekleştirebileceğini söylüyor “Saldırganın bilgi düzeyine bağlı olarak ya bir konteynerin ya da sanal makinenin içinde olduklarını fark edip ana bilgisayara kaçmaya çalışacaklar ya da Kubernetes ortamında olduklarını şunu yaparak fark edecekler: biraz dürtükleme ve dürtükleme Kaynak: Red Hat

Ancak aynı sebepten dolayı saldırganlar altyapıyı hedef aldı

Başarılı saldırıların çoğu (en azından kamuya açıklanmış olanlar) kripto para madenciliği odaklı konteynerlerin konuşlandırılmasına yol açtı ve temel olarak kripto para madenciliğini desteklemek için işletmelerden bulut bilgi işlem kaynaklarının çalınmasına yol açtı

Bir Kubernetes kümesinin bir rootkit tarafından başarılı bir şekilde ele geçirilmesi, örneğin bir saldırganın sistemdeki kötü amaçlı kapsayıcıları gizlemesine olanak tanıyabilir “Yani mor ekip oluşturma, boşluklarınızı bulup kapatmanın yoludur ve ardından Kubernetes’i ilk etapta İnternet’e koymamak, saldırıya uğramamak için harika bir yoldur Red Hat’e göre şirketlerin üçte ikisi (%67) Kubernetes ile ilgili güvenlik endişesi nedeniyle uygulama dağıtımını geciktirdi veya yavaşlattı “2023 Kubernetes Durumu Güvenlik Raporu“

Sysdig’den Lang, saldırganların Kubernetes altyapısındaki güvenlik açıklarından yararlanmasına rağmen konteynerlerde çalışan yanlış yapılandırılmış uygulamaların, orkestrasyon platformunun tehlikeye atılmasının açık ara en yaygın yolu olduğunu söylüyor

“Bu sistemler aslında çok fazla çılgınca şey yapmıyor; [kernel modules loading] bir konteynerin içinde veya konteynerleri çalıştıran ana bilgisayarda kötü bir şeylerin döndüğünden oldukça emin olabilirsiniz” diyor

“Dakikalar, bazen saniyeler içinde zaten saldırıya uğruyor” diyor Aralık ayında Black Hat Avrupa Konferansı

“Yanlış yapılandırılmış bir Web sunucusu veya Web uygulaması, saldırganın bu sanal makineye veya kapsayıcının içine kabuk erişimi sağlamasına olanak tanır” diyor Bu nedenle teknoloji, günümüzün hızlı hareket eden yazılım geliştirme ve dağıtım dünyasında bulut uygulamaları için kritik öneme sahiptir “Aksi takdirde, bunu yakalamak çok ama çok zordur çünkü bunların çoğu kullanıcı alanında veya bir uygulama katmanında gerçekleşir çok fazla derin içgörüye sahip olmadığınız bir yer

Güvenlik açıkları ve yanlış yapılandırmalar Kubernetes için en önemli endişelerdir