Container-Sicherheit: RATs in der Cloud

Weave Scope ist ein Visualisierungs- und Überwachungstool, das den Echtzeitzugriff auf Anwendungen und Infrastrukturen ermöglicht, so dass IT-Abteilungen Protokolle einsehen und Probleme diagnostizieren können. Es kann auch zur Verwaltung von Docker-Containern verwendet werden, beispielsweise für das Starten, Anhalten, Stoppen und Neustarten von Containern sowie das Starten einer Befehlszeile.

Um aktive Dashboards von Weave Scope zu finden, fragte Team Nautilus Shodan ab, eine Suchmaschine für mit dem Internet verbundene Geräte. Die Suche ergab 58 Ergebnisse. Nach dem Entfernen irrelevanter Ergebnisse und passwortgeschützter Dashboards blieben zehn Dashboards übrig, die einem Angreifer einen vollständigen Einblick in eine Kubernetes-Umgebung ermöglichen würden. Der Einblick zeigt darüber hinaus den ein- und ausgehenden Datenverkehr der Umgebungan, so dass bösartige Kommunikation leicht erkannt werden kann. Das ist beispielsweise bei der Kommunikation der Tsunami-Malware mit einem Server über das IRC-Protokoll der Fall. Weave Scope bietet zudem Einblick in den Prozess hinter dieser Kommunikation – dies entspricht dem Modus Operandi von TeamTNT.

 

Bildquelle: Aqua Security

Kubernetes Dashboard, bietet eine web-basierte Benutzeroberfläche, die speziell für Kubernetes entwickelt wurde und die alle im Kubernetes-Cluster ausgeführten Workloads anzeigen kann. Es enthält auch Funktionen zur Steuerung und Änderung von Workloads und zur Anzeige von Pod-Aktivitätsprotokollen.

Um kompromittierte Kubernetes Dashboards zu finden, suchte Team Nautilus auch hier Shodan ab. Nach dem Bereinigen der Ergebnisse blieben 27 Dashboards übrig, die keine Benutzerauthentifizierung erforderten, wodurch die Umgebung potenziellen Angriffen ausgesetzt ist. Wie in Abbildung 2 zu sehen ist, ermöglicht das ungeschützte Dashboard einem Angreifer vollen Einblick in die Kubernetes-Umgebung eines Unternehmens. Kubernetes-Dashboards enthalten darüber hinaus auch geheime Daten, auf die leicht zugegriffen werden kann. (Abbildung 3). Angreifer können ausserdem Schaden anrichten, indem sie neue Volumes erstellen oder bestehende ändern (Abbildung 4).

 

Bildquelle: Aqua Security

 

Bildquelle: Aqua Security

3. Untersuchung von Octant-Dashboard
Als drittes und letztes Tool untersuchten die Forscher von Team Nautilus verwundbare Octant-Dashboards. Octant ist eine Open-Source-Webschnittstelle für die Inspektion eines Kubernetes-Clusters und seiner Anwendungen. Sie ermöglicht neben dem Einblick in Cluster auch Debugging und Streaming von Container-Protokollen sowie die Interaktion über eine Befehlszeilenschnittstelle. Über Shodan fanden die Forscher neun potenziell gefährdete Ergebnisse. Nachdem alle irrelevanten Treffer und passwortgeschützte Dashboards entfernt worden waren, blieben vier übrig. Diese erforderten keine Benutzerauthentifizierung und machten die Umgebung für Angriffe anfällig. In diesem Fall handelte es sich jedoch ausschließlich um Honeypots, die von IT-Sicherheitsforschern als virtuelle Falle eingerichtet wurden, um Angreifer anzulocken. Mit einem ungeschützten Octant-Dashbard könnten Angreifer etwa eine Shell-Verbindung zu einem laufenden Pod öffnen, Container starten und Bereitstellungen ändern.

Da Cloud Native Infrastructures immer häufiger zum Einsatz kommen, zielen Angreifer immer häufiger auch auf diese Stacks. Leichter machen es ihnen Instanzen, die aufgrund menschlicher Fehler oder mangelnder Kenntnisse der Administratoren nach erstmals korrekter Einstellung manuell falsch konfiguriert wurden. Die korrekte Konfiguration von Cloud-Diensten kann die potenzielle Angriffsfläche erheblich reduzieren und Angriffe auf falsch konfigurierte Kubernetes-Cluster verhindern. Um eine Organisation vor solchen Bedrohungen zu schützen, ist es wichtig, diese bewährten Verfahren für die Kubernetes-Sicherheit zu befolgen:

1. In erster Linie sollten die IT-Verantwortlichen Verwaltungs-Tools nicht als öffentlichen Dienst betreiben. Sie sollten diese stattdessen so einrichten, dass sie vom localhost aus bedient werden. Zudem sollte man Tools wie Scope nur im Lese-Modus ausführen und keine Administratorrechte gewähren.
2. Auch sollte man eine „Erlaubnisliste“ mit Images erstellen, die getestet, überprüft und regelkonform sind – frei von Schad-Software und Sicherheitslücken.
3. Wenn eine IT-Abteilung derzeit keine Kubernetes-UI-Tools verwendet, ist es am besten, die Aktivierung dieser Werkzeuge während der Laufzeit zu begrenzen.

Die Dashboards der Kubernetes-Benutzeroberfläche sind nützlich, Entwicklern einen Überblick über ihre Cluster zu verschaffen. Ein falsch konfiguriertes RAT kann eine Organisation jedoch schwerwiegenden Attacken aussetzen und Angreifern die volle Kontrolle über eine Container-Umgebung geben. Die Vielfalt der Techniken, die Bedrohungsakteure einsetzen, unterstreicht, wie beliebt dieser Angriffsvektor geworden ist. Abgesehen von einigen Honeypot-Dashboards, die von IT-Sicherheitsforschern als virtuelle Falle eingerichtet wurden um Angreifer anzulocken, wiesen einige der von Team Nautilus aufgedeckten Benutzerschnittstellen Anzeichen von realen Umgebungen auf, von denen einige durch Angreifer bereits aktiv ausgenutzt wurden. Unternehmen sollten sich der Gefahr kompromittierter RATs bewusst sein und grundlegende Best Practices für die Verwaltung dieser Benutzerschnittstellen beachten.