预警Kubeflow未授权访问漏洞

释放双眼,带上耳机,听听看~!

近日,本站安全专题监测到国外某安全团队披露了一起针对Kubernetes集群中的机器学习工具包Kubeflow的挖矿事件。黑客通过Kubeflow未授权访问漏洞,可以远程执行命令并控制服务器。

漏洞描述

Kubernetes是一款开源的容器编排引擎,Kubeflow功能可通过连接到仪表板的API服务器使用,用户可利用该仪表板来管理其任务。默认情况下,Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用,但部分用户将Istio服务修改为Load-Balancer,从而导致Kubeflow仪表板可以通过互联网进行访问。攻击者通过Kubeflow未授权访问漏洞,可以部署恶意容器等,从而远程执行命令并控制服务器。漏洞实际利用需要用户更改默认配置,为彻底防止漏洞风险,本站安全专题提醒Kubeflow用户尽快及时自查并采取安全措施以阻止漏洞攻击。

安全建议

1. 确认Kubernetes集群中没有被部署恶意容器服务。可以通过以下命令进行检查:


1
kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs

2. 确保Istio服务不是具有公网IP的Load-Balancer,即Kubeflow仪表盘不直接对公网开放。可以通过以下命令检查


1
kubectl get service istio-ingressgateway -n istio-system

安全云中心应急漏洞模块已支持对该漏洞一键检测

参考链接

https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

我们会关注后续进展,请随时关注官方公告。

内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。

本站安全专题

2020.6.14

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

预警kube-proxy边界限制访问绕过漏洞

2020-7-10 17:33:25

安全漏洞

预警Citrix系列产品多个高危漏洞

2020-7-11 17:26:23

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索