38万个Kubernetes API服务器暴露在公网

研究人员发现，有超过38万个Kubernetes API服务器允许对公共互联网进行访问，这就使得这个用于管理云部署的流行开源容器成为了威胁者的一个攻击目标和广泛的攻击面。

根据本周发表的一篇博文，Shadowserver基金会在扫描互联网上的Kubernetes API服务器时发现了这个问题，受影响的服务器已经超过了45万个。

根据该帖子，ShadowServer每天会对IPv4空间的443和6443端口进行扫描，寻找响应'HTTP 200 OK状态'的IP地址，这表明该请求已经成功。

研究人员说，在Shadowserver发现的超过45万个Kubernetes API实例中，有381645个响应为 "200 OK"。 总的来说，Shadowserver发现了454,729个Kubernetes API服务器。因此，开放的API实例占Shadowserver扫描的所有实例的近84%。

此外，根据该帖子，大部分可访问的Kubernetes服务器有201348个，有将近53%是在美国被发现的。

根据该帖子，虽然这种扫描结果并不意味着这些服务器完全开放或容易受到攻击，但它确实有这样一种情况，这些服务器都有一个"不必要的暴露的攻击面" 。

研究人员指出，这种访问很可能是无意的。他们补充说，这种暴露还可能会出现各种版本和构建信息发生泄漏。

云设施一直在处于攻击之中

鉴于攻击者目前已经越来越多地对Kubernetes云集群进行攻击，并利用它们对云服务发起其他攻击，这些发现令人非常不安。事实上，云服务设施曾经就出现过由于错误的配置，从而产生了各种损失，当然，Kubernetes也毫不例外。

事实上，数据安全公司comforte AG的网络安全专家在给媒体的一封电子邮件中说，他对Shadowserver扫描发现这么多暴露在公共互联网上的Kubernetes服务器并不惊讶。

他说，Kubernetes为企业的敏捷应用交付提供了很高的便捷性，有很多特点会使它成为理想的被攻击利用的目标。例如，由于应用内部会运行许多容器，所以Kubernetes会有一个很大的攻击面，如果不能保证安全，那么就会被攻击者利用。

开源设施的安全性

这些问题的出现还引出了一个长期存在的问题，即如何确保开源系统的安全性，这些系统作为现代互联网和云基础设施的一部分，开始变得无处不在，这也就使得针对它们的攻击变成了针对其所连接的所有系统的攻击。

这个问题在去年12月出现的无处不在的Java日志库Apache Log4j中的Log4Shell漏洞的案例中就已经被人们注意到。

这个漏洞很容易被利用，它允许攻击者未经授权的进行远程代码执行（RCE）攻击以及完全接管服务器。事实上，最近的一份报告发现，尽管Log4Shell发布了补丁，但数以百万计的Java应用程序仍然存在大量的漏洞。

Shadabi说，Kubernetes的一个致命弱点是，该平台内置的数据安全功能只是在最低限度的保护静态数据。在云环境中，这是一个非常危险的情况。

并且，没有对数据本身进行持续的保护，例如并未使用一些行业公认的技术，如字段级的标记化。因此，如果一个生态系统被破坏，它所处理的敏感数据迟早会受到更隐蔽的攻击。

Shadabi对于那些在生产环境中使用容器和Kubernetes的组织的建议是，要像对待IT基础设施一样认真全面的对待Kubernetes的安全。

Shadowserver方面建议，如果管理员发现他们环境中的Kubernetes实例可以访问互联网，他们应该考虑采取访问授权或在防火墙层面进行阻断，减少暴露的攻击面。