Lacework: Mehr als 22.000 Containerverwaltungen öffentlich zugänglich

Die auf Amazons Web Services spezialisierte Sicherheitsfirma Lacework hat im Netz mehr als 22.000 Managementoberflächen zur Containerverwaltung gefunden, die hauptsächlich zu Kubernetes gehören. Als wäre das nicht schon schlimm genug, waren einige auch völlig ungeschützt im Netz.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar.
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar. (Bild: US Coast Guard Academy/Public Domain)

Wer viele Container betreibt, möchte diese komfortabel verwalten. Kubernetes erfreut sich in diesem Zusammenhang zunehmender Beliebtheit, doch es gibt auch andere Verwaltungswerkzeuge wie Portainer oder Docker Swarm. Viele dieser Plattformen bringen Weboberflächen mit, die dank der Public Cloud über öffentliche IP-Adressen erreichbar sind. Die Sicherheitsfirma Lacework hat nun rund 22.700 solcher Managementoberflächen öffentlich zugänglich aufgefunden.

Stellenmarkt
  1. Beraterinnen / Berater (w/m/d) für den Bereich "Informationssicherheitsbera- tung für den ... (m/w/d)
    Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn
  2. IT-Systemadministrator (m/w/d) Projekte
    Bayerischer Jugendring, München
Detailsuche

Die Zahlen weichen in den beiden zur Verfügung gestellten Dokumenten allerdings leicht voneinander ab, an anderer Stelle ist von rund 21.200 die Rede. Gefunden hat das Team die Instanzen über verschiedene Techniken wie ein einfaches Web-Crawling, die Nutzung von Shodan, "SSL-Data-Mining", also vermutlich eine systematische Suche nach Zertifikaten und Hosts, sowie internen Werkzeugen.

Zwar war die Mehrheit der Zugänge über Logindaten geschützt, aber 305 der gefundenen Cluster standen offen, waren also nicht per Passwort geschützt oder befanden sich noch im Setup-Prozess. Unbefugte hätten also kompletten Zugriff auf die Containerverwaltung, auch eine Remote Code Execution wäre über die API und User Interface möglich. Auch 38 Server mit einem Health-Check-Dienst namens Healthz für Containerumgebungen tauchten in der Suche auf. Der Zugriff auf diese erforderte ebenfalls keinerlei Zugangsdaten.

Laut der Daten von Lacework werden 95 Prozent der gefunden Managementoberflächen bei Amazons Web Services (AWS) gehostet, gefolgt von Googles Cloud-Angebot und OVH. Der Großteil der Oberflächen, 78 Prozent, gehörte zu Kubernetes, gefolgt von Docker Swarm mit Portainer und Swarmpit bei zusammen rund 20 Prozent. Auch erreichbar waren Oberflächen von Swagger API, Mesos Marathon und Red Hats Openshift. Die meisten offenen UIs wurden dabei in den USA gehostet (55 Prozent), gefolgt von Irland, Deutschland, Australien, Singapur und Großbritannien.

Auch geschützte UIs problematisch

Golem Karrierewelt
  1. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
Weitere IT-Trainings

Natürlich veröffentlicht Lacework die Erkenntnisse nicht ohne Eigennutz, hat sich das Unternehmen doch auf AWS-Security spezialisiert. Wie das Unternehmen in seiner Mitteilung schreibt, erhöhen aber auch mit Zugangsdaten geschützte Management-UIs die Angriffsfläche. Denkbar seien Brute-Force- und Dictionary-Angriffe, aber auch das Ausnutzen von Sicherheitslücken und Zugriffe auf Zertifikate.

Auch aus diesem Grund empfiehlt zum Beispiel Kubernetes-Initiator Google für seine Cloud, das Kubernetes-UI zu deaktivieren. Auch Lacework gibt verschiedene Tipps zum sicheren Umgang mit Containerverwaltungen. Neben einer Multi-Faktor-Authentifizierung empfehlen sie, den Zugang von UI- und API-Ports zu regulieren. TLS und valide Zertifikate helfen ebenso wie ein Bastion Host. Für Kubernetes empfiehlt die Firma, die Pods nur mit einem Read-only-Dateisystem zu betreiben, Privilege Escalation zu beschränken und eine Pod-Security-Policy zu entwerfen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloudgaming
Google Stadia scheiterte nur an sich selbst

Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
Eine Analyse von Daniel Ziegener

Cloudgaming: Google Stadia scheiterte nur an sich selbst
Artikel
  1. Tiktok-Video: Witz über große Brüste kostet Apple-Manager den Job
    Tiktok-Video
    Witz über große Brüste kostet Apple-Manager den Job

    Er befummle von Berufs wegen großbrüstige Frauen, hatte ein Apple Vice President bei Tiktok gewitzelt. Das kostete ihn den Job.

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. 40 Jahre nach dem Tod von Philip K. Dick: Die Filmwelten eines visionären Autors
    40 Jahre nach dem Tod von Philip K. Dick
    Die Filmwelten eines visionären Autors

    Vor 40 Jahren starb Philip K. Dick. Das Vermächtnis des visionären Science-Fiction-Autors lebt mit vielen Filmen und Serien fort.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /