开源容器原生工作流引擎 Argo Workflows 可被用于攻击 K8s 集群
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
安全厂商 Intezer威胁行动者正在利用 Argo Workflows 攻击 Kubernetes 部署并部署密币挖矿机。
Intezer 团队在技术、金融和物流行业组织机构中找到一系列不受保护的运营中,可导致任何人部署工作流。在某些情况下,这些节点被恶意行动者用于部署密币矿机。
Argo Workflows 是运行在 K8s 上的开源的容器原生工作流引擎,可使用户从中心接口运行平行任务,从而降低了部署的复杂度并使出错空间减少。
Argo 使用 YAML 文件来定义需执行的工作流行,这些工作流或者从模板执行或者使用 Argo 控制台直接提交。
针对配置错误的实例,Intezer 公司表示威胁行动者可访问一个开放的 Argo 仪表盘并部署工作流。在所观察到的一个攻击活动中,攻击者部署了 kannix/门罗币挖矿机,该挖矿机是一种已知的密币挖掘容器,已从 Docker Hub 中删除。
该容器使用 XMRig 挖掘门罗币,被威胁行动者滥用于运行密币劫持操作,只需更改存储已挖掘虚拟币的密币钱包即可轻松配置。
要检查实例是否正确配置,用户可尝试从企业网络外部访问 Argo Workflows 仪表盘,使用隐身浏览器即可,无需进行认证。
Intezer 解释称,“另外一个选择是查询实例的 API 并检查状态码。向[your.instance:port]/api/v1/info 提出 GET 请求,如果对于未认证用户返回的 HTTP 状态码是 “401 Unauthorized”,则表明实例配置正确;如果返回的状态码是“200 Success”,则表明未认证用户能够访问实例。
同时建议用户检查 Argo 实例中是否存在任何可疑活动,确保工作流未运行超时,否则说明集群中被部署了密币挖矿机。
https://www.securityweek.com/threat-actors-target-kubernetes-clusters-argo-workflows
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~