Abo
  • Services:

Lacework: Mehr als 22.000 Containerverwaltungen öffentlich zugänglich

Die auf Amazons Web Services spezialisierte Sicherheitsfirma Lacework hat im Netz mehr als 22.000 Managementoberflächen zur Containerverwaltung gefunden, die hauptsächlich zu Kubernetes gehören. Als wäre das nicht schon schlimm genug, waren einige auch völlig ungeschützt im Netz.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar.
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar. (Bild: US Coast Guard Academy/Public Domain)

Wer viele Container betreibt, möchte diese komfortabel verwalten. Kubernetes erfreut sich in diesem Zusammenhang zunehmender Beliebtheit, doch es gibt auch andere Verwaltungswerkzeuge wie Portainer oder Docker Swarm. Viele dieser Plattformen bringen Weboberflächen mit, die dank der Public Cloud über öffentliche IP-Adressen erreichbar sind. Die Sicherheitsfirma Lacework hat nun rund 22.700 solcher Managementoberflächen öffentlich zugänglich aufgefunden.

Stellenmarkt
  1. ICS IT & Consulting Services GmbH, Frankfurt am Main
  2. Swyx Solutions GmbH, Dortmund

Die Zahlen weichen in den beiden zur Verfügung gestellten Dokumenten allerdings leicht voneinander ab, an anderer Stelle ist von rund 21.200 die Rede. Gefunden hat das Team die Instanzen über verschiedene Techniken wie ein einfaches Web-Crawling, die Nutzung von Shodan, "SSL-Data-Mining", also vermutlich eine systematische Suche nach Zertifikaten und Hosts, sowie internen Werkzeugen.

Zwar war die Mehrheit der Zugänge über Logindaten geschützt, aber 305 der gefundenen Cluster standen offen, waren also nicht per Passwort geschützt oder befanden sich noch im Setup-Prozess. Unbefugte hätten also kompletten Zugriff auf die Containerverwaltung, auch eine Remote Code Execution wäre über die API und User Interface möglich. Auch 38 Server mit einem Health-Check-Dienst namens Healthz für Containerumgebungen tauchten in der Suche auf. Der Zugriff auf diese erforderte ebenfalls keinerlei Zugangsdaten.

Laut der Daten von Lacework werden 95 Prozent der gefunden Managementoberflächen bei Amazons Web Services (AWS) gehostet, gefolgt von Googles Cloud-Angebot und OVH. Der Großteil der Oberflächen, 78 Prozent, gehörte zu Kubernetes, gefolgt von Docker Swarm mit Portainer und Swarmpit bei zusammen rund 20 Prozent. Auch erreichbar waren Oberflächen von Swagger API, Mesos Marathon und Red Hats Openshift. Die meisten offenen UIs wurden dabei in den USA gehostet (55 Prozent), gefolgt von Irland, Deutschland, Australien, Singapur und Großbritannien.

Auch geschützte UIs problematisch

Natürlich veröffentlicht Lacework die Erkenntnisse nicht ohne Eigennutz, hat sich das Unternehmen doch auf AWS-Security spezialisiert. Wie das Unternehmen in seiner Mitteilung schreibt, erhöhen aber auch mit Zugangsdaten geschützte Management-UIs die Angriffsfläche. Denkbar seien Brute-Force- und Dictionary-Angriffe, aber auch das Ausnutzen von Sicherheitslücken und Zugriffe auf Zertifikate.

Auch aus diesem Grund empfiehlt zum Beispiel Kubernetes-Initiator Google für seine Cloud, das Kubernetes-UI zu deaktivieren. Auch Lacework gibt verschiedene Tipps zum sicheren Umgang mit Containerverwaltungen. Neben einer Multi-Faktor-Authentifizierung empfehlen sie, den Zugang von UI- und API-Ports zu regulieren. TLS und valide Zertifikate helfen ebenso wie ein Bastion Host. Für Kubernetes empfiehlt die Firma, die Pods nur mit einem Read-only-Dateisystem zu betreiben, Privilege Escalation zu beschränken und eine Pod-Security-Policy zu entwerfen.



Anzeige
Blu-ray-Angebote
  1. 7,99€ inkl. FSK-18-Versand
  2. 4,25€

ul mi 04. Jul 2018 / Themenstart

98.5% der gefundenen Managementoberflächen waren zugangsgeschützt. ;-)

Some0NE 04. Jul 2018 / Themenstart

rm -rf / Dann ist wenigstens der Rest der Netizens geschützt.

Kommentieren


Folgen Sie uns
       


Volocopter auf der Cebit 2018 angesehen

Im autonomen Volocopter haben zwei Personen mit zusammen höchstens 160 Kilogramm Platz - wir haben uns auf der Cebit 2018 trotzdem reingesetzt.

Volocopter auf der Cebit 2018 angesehen Video aufrufen
Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

    •  /