Remote Access Tool in der Cloud
Container-Sicherheit erhöhen
Ein Remote Access Tool (RAT) ist eine Software, die für den Fernzugriff oder die Fernsteuerung eines Computers in Gebrauch ist. Solche Tools verwenden Systemadministratoren für den Zugriff auf von ihnen verwaltete Clients. Sind – eigentlich legitime – RATs für bösartige Zwecke in Verwendung, bezeichnet man sie als Remote Access Trojans. Cyberkriminelle nutzen die an sich legitimen Tools seit vielen Jahren als Trojaner, um so die volle Kontrolle über die Computer zu erlangen. Das Einzige, das sie dafür tun müssen, ist, deren Nutzer dazu zu verleiten, eines dieser Tools zu installieren und den Zugriff zu gewähren.
Da Cyberkriminelle auf allen Ebenen aktiv sind, überrascht es nicht, dass die Angreifer seit einiger Zeit auch auf für die Cloud entwickelten Umgebungen und deren Benutzeroberflächen abzielen, um beispielsweise Zugang zu Docker- und Kubernetes-Instanzen zu erhalten. Wie Kriminelle RATs hierzu nutzen, hat Team Nautilus analysiert. Die auf den Cloud-eigenen Technik-Stack spezialisierte Forschungseinheit von Aqua Security hat hierzu drei der bekanntesten Tools auf Schwachstellen untersucht: Weave Scope, Kubernetes-Dashboard und Octant.
Kubernetes-UI-Tools im Visier
Es gibt zahlreiche Kubernetes-UI-Tools wie beispielsweise cAdvisor und Kubernetes Operational View. Diese Tools hat man entwickelt, um Einblicke in den Cluster zu gewähren. Einige wenige von ihnen ermöglichen darüber hinaus auch Zugriff und Kontrolle des Clusters und können in den Händen von Cyberkriminellen großen Schaden anrichten. Team Nautilus untersuchte mögliche Fehlkonfigurationen der drei UI-Tools Weave Scope, Kubernetes-Dashboard und Octant.
1. Untersuchung von Weave Scope
Weave Scope ist ein Visualisierungs- und Überwachungs-Tool, das den Echtzeitzugriff auf Anwendungen und Infrastrukturen ermöglicht, so dass IT-Abteilungen Protokolle einsehen und Probleme diagnostizieren können. Es lässt sich auch zur Verwaltung von Docker-Containern verwenden, beispielsweise für das Starten, Anhalten, Stoppen und Neustarten von Containern sowie das Starten einer Befehlszeile.
Um aktive Dashboards von Weave Scope zu finden, fragte Team Nautilus Shodan ab, eine Suchmaschine für mit dem Internet verbundene Geräte. Die Suche ergab 58 Ergebnisse. Nach dem Entfernen irrelevanter Ergebnisse und passwortgeschützter Dashboards blieben zehn Dashboards übrig, die einem Angreifer einen vollständigen Einblick in eine Kubernetes-Umgebung ermöglichen würden. Der Einblick zeigt darüber hinaus den ein- und ausgehenden Datenverkehr der Umgebungen, so dass man bösartige Kommunikation leicht erkennen kann. Das ist beispielsweise bei der Kommunikation der Tsunami-Malware mit einem Server über das IRC-Protokoll der Fall. Weave Scope bietet zudem Einblick in den Prozess hinter dieser Kommunikation – dies entspricht dem Modus Operandi von TeamTNT.
2. Untersuchung von Kubernetes-Dashboard
Kubernetes-Dashboard bietet eine Web-basierte Benutzeroberfläche, die speziell für Kubernetes entwickelt ist und die alle im Kubernetes-Cluster ausgeführten Workloads anzeigen kann. Es enthält auch Funktionen zur Steuerung und Änderung von Workloads und zur Anzeige von Pod-Aktivitätsprotokollen.
Um kompromittierte Kubernetes-Dashboards zu finden, suchte Team Nautilus auch hier Shodan ab. Nach dem Bereinigen der Ergebnisse blieben 27 Dashboards übrig, die keine Benutzerauthentifizierung erforderten, wodurch die Umgebung potenziellen Angriffen ausgesetzt ist. Wie in Abbildung oben zu sehen ist, ermöglicht das ungeschützte Dashboard einem Angreifer vollen Einblick in die Kubernetes-Umgebung eines Unternehmens. Kubernetes-Dashboards enthalten darüber hinaus auch geheime Daten, auf die ein einfacher Zugriff möglich ist. Angreifer können außerdem Schaden anrichten, indem sie neue Volumes erstellen oder bestehende ändern.
- Container-Sicherheit erhöhen
- Untersuchung Teil 2
Lesen Sie mehr zum Thema
