预警Kubeflow未授权访问漏洞

近日，本站安全专题监测到国外某安全团队披露了一起针对Kubernetes集群中的机器学习工具包Kubeflow的挖矿事件。黑客通过Kubeflow未授权访问漏洞，可以远程执行命令并控制服务器。

漏洞描述

Kubernetes是一款开源的容器编排引擎，Kubeflow功能可通过连接到仪表板的API服务器使用，用户可利用该仪表板来管理其任务。默认情况下，Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用，但部分用户将Istio服务修改为Load-Balancer，从而导致Kubeflow仪表板可以通过互联网进行访问。攻击者通过Kubeflow未授权访问漏洞，可以部署恶意容器等，从而远程执行命令并控制服务器。漏洞实际利用需要用户更改默认配置，为彻底防止漏洞风险，本站安全专题提醒Kubeflow用户尽快及时自查并采取安全措施以阻止漏洞攻击。

安全建议

1. 确认Kubernetes集群中没有被部署恶意容器服务。可以通过以下命令进行检查：

1
kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs

2. 确保Istio服务不是具有公网IP的Load-Balancer，即Kubeflow仪表盘不直接对公网开放。可以通过以下命令检查

1
kubectl get service istio-ingressgateway -n istio-system

安全云中心应急漏洞模块已支持对该漏洞一键检测

参考链接

https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/

我们会关注后续进展，请随时关注官方公告。

内容来自网络，如有侵犯到您的权益，请联系站长QQ7529997，我们将及时处理。

本站安全专题

2020.6.14