Lebih dari 380.000 server API Kubernetes memungkinkan beberapa jenis akses ke internet publik, membuat mesin orkestrasi kontainer sumber terbuka yang populer untuk mengelola penyebaran cloud menjadi target yang mudah dan permukaan serangan yang luas bagi pelaku ancaman, menurut temuan para peneliti.
Yayasan Shadowserver menemukan akses ketika memindai internet untuk server API Kubernetes, yang jumlahnya lebih dari 450.000, menurut sebuah posting blog yang diterbitkan minggu ini.
“ShadowServer melakukan pemindaian harian ruang IPv4 pada port 443 dan 6443, mencari alamat IP yang merespons dengan ‘status HTTP 200 OK’, yang menunjukkan bahwa permintaan telah berhasil,” menurut posting tersebut.
Dari lebih dari 450.000 instance Kubernetes API yang diidentifikasi oleh Shadowserver, 381.645 merespons dengan “200 OK”, kata para peneliti. Secara keseluruhan, Shadowserver menemukan 454.729 server API Kubernetes. Dengan demikian, instans API “terbuka” merupakan hampir 84 persen dari semua instans yang dipindai oleh Shadowserver.
Selain itu, sebagian besar server Kubernetes yang dapat diakses—201.348, atau hampir 53 persen—ditemukan di Amerika Serikat, menurut postingan tersebut.
Meskipun respons terhadap pemindaian ini tidak berarti server ini sepenuhnya terbuka atau rentan terhadap serangan, itu menciptakan skenario di mana server memiliki “permukaan serangan yang tidak perlu,” menurut posting tersebut.
“Tingkat akses ini sepertinya tidak dimaksudkan,” para peneliti mengamati. Eksposur juga memungkinkan kebocoran informasi pada versi dan build, tambah mereka.
Selengkapnya: Threat Post
