Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Kubernetes

Kubernetes

Kinsing Malware Menargetkan Kubernetes

by

Malware Kinsing telah lama diketahui oleh administrator Linux, dan, sekarang — mengejutkan! — ini juga datang setelah Kubernetes.

Kinsing adalah program malware Linux/Unix Executable and Link format (ELF) jadul, yang ditulis dalam Go. Diberi kesempatan, itu menjalankan cryptominer dan mencoba menyebarkan dirinya ke wadah dan host lain.

Selama bertahun-tahun, itu telah digunakan dalam serangan terhadap Docker, Redis, dan SaltStack. Dan, sekarang, sekarang, peretas Kinsing mengejar Kubernetes. Saya kaget, kaget saat mengetahui bahwa cryptomining sedang terjadi di Kubernetes!

Sunders Bruskin, Microsoft Defender untuk peneliti keamanan Cloud, melaporkan tentang bagaimana sekarang sering menargetkan kluster Kubernetes menggunakan dua teknik vektor akses awal yang berbeda. Ini adalah eksploitasi wadah PostgreSQL yang dikonfigurasi dengan lemah dan gambar yang rentan.

Selengkapnya: Linux Security

380K Server API Kubernetes Terekspos ke Internet

by

Lebih dari 380.000 server API Kubernetes memungkinkan beberapa jenis akses ke internet publik, membuat mesin orkestrasi kontainer sumber terbuka yang populer untuk mengelola penyebaran cloud menjadi target yang mudah dan permukaan serangan yang luas bagi pelaku ancaman, menurut temuan para peneliti.

Yayasan Shadowserver menemukan akses ketika memindai internet untuk server API Kubernetes, yang jumlahnya lebih dari 450.000, menurut sebuah posting blog yang diterbitkan minggu ini.

“ShadowServer melakukan pemindaian harian ruang IPv4 pada port 443 dan 6443, mencari alamat IP yang merespons dengan ‘status HTTP 200 OK’, yang menunjukkan bahwa permintaan telah berhasil,” menurut posting tersebut.

Dari lebih dari 450.000 instance Kubernetes API yang diidentifikasi oleh Shadowserver, 381.645 merespons dengan “200 OK”, kata para peneliti. Secara keseluruhan, Shadowserver menemukan 454.729 server API Kubernetes. Dengan demikian, instans API “terbuka” merupakan hampir 84 persen dari semua instans yang dipindai oleh Shadowserver.

Selain itu, sebagian besar server Kubernetes yang dapat diakses—201.348, atau hampir 53 persen—ditemukan di Amerika Serikat, menurut postingan tersebut.

Meskipun respons terhadap pemindaian ini tidak berarti server ini sepenuhnya terbuka atau rentan terhadap serangan, itu menciptakan skenario di mana server memiliki “permukaan serangan yang tidak perlu,” menurut posting tersebut.

“Tingkat akses ini sepertinya tidak dimaksudkan,” para peneliti mengamati. Eksposur juga memungkinkan kebocoran informasi pada versi dan build, tambah mereka.

Selengkapnya: Threat Post

StackRox, Platform Keamanan Kubernetes yang Diperoleh Red Hat Tahun Lalu

by

Januari lalu, Red Hat mengumumkan bahwa mereka mengakuisisi startup keamanan Kubernetes StackRox, sebuah perusahaan yang telah mengumpulkan lebih dari $65 juta sejak didirikan pada tahun 2014. Dengan StackRox, perusahaan memperoleh solusi keamanan yang canggih untuk aplikasi cloud-native, yang kemudian diganti namanya dengan nama “Red Hat Advanced Cluster Security (ACS) untuk Kubernetes.” Sekarang, perusahaan membuka sumber ACS untuk Kubernetes dengan nama yang lebih baik: StackRox.

“Dibangun untuk mendorong adopsi prinsip-prinsip DevSecOps, proyek ini membantu mengatasi tantangan keamanan cloud-native umum, termasuk visibilitas, manajemen kerentanan, manajemen konfigurasi, segmentasi jaringan, kepatuhan, deteksi ancaman dan respons insiden, serta profil risiko,” Red Hat menjelaskan dalam pengumuman hari ini.

Dengan StackRox, pengembang akan dapat membangun solusi untuk mengotomatisasi DevSecOps, meningkatkan keamanan Kubernetes, dan mengoperasionalkan keamanan aplikasi siklus hidup penuh di Kubernetes. Ini berarti developer akan dapat menggunakan StackRox untuk menyediakan pemindaian gambar berkelanjutan dan jaminan ke dalam pipeline CI/CD mereka, misalnya, dan memastikan bahwa beban kerja berisiko tinggi tidak berakhir di layanan produksi tanpa kebijakan tambahan.

Sementara ACS Red Hat akan terus fokus pada keamanan untuk platform container OpenShift miliknya sendiri, proyek open-source StackRox sebagian besar akan netral terhadap vendor, meskipun Red Hat secara mengejutkan berencana untuk terus menjadi peserta aktif dalam komunitas.

Sumber: TechCrunch

Alat Keamanan Kubernetes Sumber Terbuka Teratas tahun 2021

by

Menurut survei kami baru-baru ini terhadap para pembuat keputusan TI, keamanan adalah area perhatian terbesar yang berkaitan dengan adopsi container, dengan masalah keamanan yang menyebabkan penundaan penerapan aplikasi di antara 54% responden.

Kubernetes, pertama dan terutama, adalah alat untuk pengembangan dan tim DevOps untuk mempercepat dan menskalakan pengembangan, penerapan, dan pengelolaan aplikasi dalam container. Penyedia seperti Red Hat, Amazon, Microsoft, dan Google telah menambahkan fitur keamanan untuk meningkatkan kemampuan dasar di Kubernetes. Pada saat yang sama, vendor keamanan komersial telah melangkah untuk menawarkan solusi keamanan yang siap untuk perusahaan untuk kasus penggunaan yang lebih maju.

Secara paralel, komunitas Kubernetes sangat aktif merilis alat keamanan open source untuk mengisi celah keamanan yang ada di Kubernetes. Pelanggan memiliki banyak pilihan alat keamanan sumber terbuka untuk dipilih, dan hasil survei Red Hat menunjukkan bahwa tidak ada alat keamanan sumber terbuka tunggal yang mendominasi pasar keamanan Kubernetes.

Di bawah ini, Anda akan menemukan sembilan alat keamanan Kubernetes open source terpopuler yang diidentifikasi oleh responden survei kami.

Sumber: RedHat

Selengkapnya: Red Hat

Bug Keamanan Memungkinkan Penyerang untuk Merusak Kubernetes Clusters

by

Kerentanan di salah satu library Go yang menjadi dasar Kubernetes dapat menyebabkan denial of service (DoS) untuk mesin container CRI-O dan Podman.

Bug (CVE-2021-20291) memengaruhi library Go yang disebut “container/storage”. Menurut Aviv Sasson, peneliti keamanan di tim Unit 42 Palo Alto yang menemukan cacat tersebut, hal itu dapat dipicu dengan menempatkan gambar berbahaya di dalam registri; kondisi DoS dibuat saat gambar tersebut ditarik dari registri oleh pengguna yang tidak menaruh curiga.

CRI-O dan Podman adalah image container, mirip dengan Docker, yang digunakan untuk melakukan tindakan dan mengelola container di cloud. Library container/storage digunakan oleh CRI-O dan Podman untuk menangani penyimpanan dan pengunduhan gambar kontainer.

Ketika kerentanan dipicu, CRI-O gagal menarik gambar baru, memulai containers baru (bahkan jika sudah ditarik), mengambil daftar gambar lokal atau mematikan containers, menurut peneliti.

Sementara itu Podman akan gagal menarik gambar baru, mengambil pod yang sedang berjalan, memulai containers baru (bahkan jika sudah ditarik), mengeksekusi ke dalam containers, mengambil gambar yang ada atau mematikan containers yang ada, katanya.

Selengkapnya: Threat Post

Red Hat menutup akuisisi keamanan StackRox Kubernetes

by

Dalam hal uang, Red Hat membeli StackRox mungkin bukan masalah besar. Sumber mengatakan itu sedikit di atas $ 100 juta. Tetapi, ketika berbicara tentang mengamankan Kubernetes, ini adalah kesepakatan yang sangat besar tidak hanya untuk Red Hat dan distro Kubernetes in-house-nya, OpenShift, tetapi untuk semua distro dan layanan Kubernetes.

Itu karena perangkat lunak StackRox melakukan pekerjaan luar biasa dalam menyediakan visibilitas di seluruh cluster Kubernetes dengan menerapkan komponen untuk penegakan dan pengumpulan data langsung ke infrastruktur cluster Kubernetes.

StackRox juga menyediakan mesin kebijakan yang mencakup ratusan kontrol bawaan untuk menerapkan praktik terbaik keamanan, standar industri, dan manajemen konfigurasi.

Dengan StackRox, Red Hat mengatakan akan fokus pada peningkatan keamanan untuk beban kerja cloud-native dengan memperluas dan menyempurnakan kontrol asli Kubernetes, dan mengalihkan keamanan ke fase build container dan CI/CD.

Yang terbaik dari semuanya, Red Hat akan menjadi teknologi StackRox sumber terbuka. Selain OpenShift, StackRox akan terus mendukung beberapa platform Kubernetes, termasuk Amazon Elastic Kubernetes Service, Microsoft Azure Kubernetes Service, dan Google Kubernetes Engine.

Selengkapnya: ZDNet

Malware Docker menjadi umum, pengembang perlu memperhatikan keamanan Docker dengan serius

by

Menjelang akhir tahun 2017, terjadi perubahan besar dalam dunia malware. Seiring teknologi berbasis cloud menjadi lebih populer, geng kejahatan siber juga mulai menargetkan sistem Docker dan Kubernetes.

Sebagian besar serangan ini mengikuti pola yang sangat sederhana di mana pelaku ancaman memindai sistem yang salah konfigurasi yang antarmuka adminnya terekspos secara online untuk mengambil alih server dan menyebarkan malware penambangan cryptocurrency.

Selama tiga tahun terakhir, serangan ini semakin intensif, dan strain malware baru serta aktor ancaman yang menargetkan Docker (dan Kubernetes) sekarang ditemukan secara teratur.

Namun terlepas dari kenyataan bahwa serangan malware di server Docker sekarang lebih banyak ditemukan, banyak pengembang web dan infrastruktur engineer belum mempelajari pelajaran mereka dan masih salah mengonfigurasi server Docker, membuat mereka rentan akan serangan.

Kesalahan paling umum dari kesalahan ini adalah membiarkan endpoint API administrasi jarak jauh Docker terbuka online tanpa otentikasi.

Strain malware terbaru ini ditemukan minggu lalu oleh firma keamanan China Qihoo 360. Dinamakan Blackrota, ini adalah trojan backdoor sederhana yang pada dasarnya adalah versi sederhana dari CarbonStrike beacon yang diimplementasikan dalam bahasa pemrograman Go.

Perusahaan, pengembang web, dan engineer yang menjalankan sistem Docker bagian dari sistem produksi disarankan untuk meninjau dokumentasi resmi Docker untuk memastikan mereka telah mengamankan kemampuan manajemen jarak jauh Docker dengan mekanisme otentikasi yang tepat, seperti sistem otentikasi berbasis sertifikat.

Sumber: ZDNet

Weave Scope dieksploitasi dalam serangan terhadap lingkungan cloud

by

TeamTNT telah menambahkan perangkat lunak Weave Scope yang sah ke perangkat serangannya dalam upaya menyusup ke lingkungan cloud.

Menurut penelitian baru yang diterbitkan oleh perusahaan keamanan siber Intezer dan Microsoft minggu ini, ini mungkin pertama kalinya Weave Scope disertakan dalam serangan berbasis cloud.

TeamTNT sebelumnya telah dikaitkan ke serangan terhadap instalasi Docker dan Kubernetes. Bulan lalu, pelaku ancaman juga memiliki kaitan dengan botnet penambangan cryptocurrency yang mampu mencuri kredensial AWS dari server. Grup ini juga diketahui mengunggah image Docker yang berbahaya ke Docker Hub.

Microsoft mengatakan bahwa image berbahaya yang terlihat pada pertengahan Agustus disebarkan dari repositori yang tidak terlihat dalam serangan sebelumnya. Satu image Docker, khususnya, pause-amd64: 3.3, terhubung ke server yang berbasis di Jerman yang berisi skrip berbahaya dan alat tambahan yang digunakan oleh grup.

Weave Works ‘Weave Scope adalah perangkat lunak visualisasi dan pemantauan sumber terbuka untuk Docker, Kubernetes, Sistem Operasi Cloud Terdistribusi (DC / OS), dan AWS Elastic Compute Cloud (ECS), yang memungkinkan pengguna untuk menonton proses yang sedang berjalan dan koneksi jaringan kontainer di lingkungan cloud melalui antarmuka khusus. Perangkat lunak ini juga mengizinkan administrator untuk menjalankan shell dalam cluster sebagai root, dan tidak memerlukan autentikasi secara default.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet