Kubernetes 是一个开源容器编排系统,用于自动化软件部署、扩展和管理。Shadowserver 基金会开始扫描可访问的 Kubernetes API 实例,这些实例以 200 OK HTTP 响应对探测器进行响应。
“在我们能够识别的超过45万个API中,我们每天发现超过38万个允许某种形式的访问的 Kubernetes API。这些数据每天都会在我们的可访问Kubernetes API 服务器报告中共享。”,
扫描结果并不意味着这些服务器完全开放或容易受到攻击,它表明服务器具有“不必要地暴露攻击面”的情况。
它们扫描端口6443和443上的所有IPv4空间,并且仅包括响应200 OK(附带 JSON 响应)的Kubernetes服务器,因此在其响应中披露版本信息。2022-05-16的扫描结果发现 381,645 个唯一IP响应了探测的 200 OK HTTP 响应。
“这是我们看到的 454,729 个 Kubernetes API 实例中的一个。因此,“开放”API 实例构成了我们可以在 IPv4 互联网上扫描的所有实例的近 84%。”
数据安全公司 Comforte AG 的网络安全专家 Erfan Shadabi 表示,Shadowserver基金会扫描发现如此多的 Kubernetes 服务器暴露在公共互联网上,他并不感到惊讶。“White Kubernetes] 为企业提供了敏捷应用交付的巨大好处,有一些特点使其成为理想的攻击目标。例如,由于拥有许多容器,Kubernetes 有一个很大的攻击面,如果不预先保护,可能会被利用,”他说。
保护 Kubernetes
Shadowserver基金会建议,如果管理员发现他们环境中的 Kubernetes 实例可以访问互联网,他们应该考虑实施“访问授权”,或者在防火墙级别进行阻止以减少暴露的攻击面。
Erfan Shadabi建议在其生产环境中使用容器和 Kubernetes 的组织应像对待 IT 基础设施的各个方面一样认真对待 Kubernetes。