Abo
  • Services:

Lacework: Mehr als 22.000 Containerverwaltungen öffentlich zugänglich

Die auf Amazons Web Services spezialisierte Sicherheitsfirma Lacework hat im Netz mehr als 22.000 Managementoberflächen zur Containerverwaltung gefunden, die hauptsächlich zu Kubernetes gehören. Als wäre das nicht schon schlimm genug, waren einige auch völlig ungeschützt im Netz.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar.
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar. (Bild: US Coast Guard Academy/Public Domain)

Wer viele Container betreibt, möchte diese komfortabel verwalten. Kubernetes erfreut sich in diesem Zusammenhang zunehmender Beliebtheit, doch es gibt auch andere Verwaltungswerkzeuge wie Portainer oder Docker Swarm. Viele dieser Plattformen bringen Weboberflächen mit, die dank der Public Cloud über öffentliche IP-Adressen erreichbar sind. Die Sicherheitsfirma Lacework hat nun rund 22.700 solcher Managementoberflächen öffentlich zugänglich aufgefunden.

Stellenmarkt
  1. Elektronische Fahrwerksysteme GmbH, Ingolstadt
  2. Byton GmbH, Ismaning

Die Zahlen weichen in den beiden zur Verfügung gestellten Dokumenten allerdings leicht voneinander ab, an anderer Stelle ist von rund 21.200 die Rede. Gefunden hat das Team die Instanzen über verschiedene Techniken wie ein einfaches Web-Crawling, die Nutzung von Shodan, "SSL-Data-Mining", also vermutlich eine systematische Suche nach Zertifikaten und Hosts, sowie internen Werkzeugen.

Zwar war die Mehrheit der Zugänge über Logindaten geschützt, aber 305 der gefundenen Cluster standen offen, waren also nicht per Passwort geschützt oder befanden sich noch im Setup-Prozess. Unbefugte hätten also kompletten Zugriff auf die Containerverwaltung, auch eine Remote Code Execution wäre über die API und User Interface möglich. Auch 38 Server mit einem Health-Check-Dienst namens Healthz für Containerumgebungen tauchten in der Suche auf. Der Zugriff auf diese erforderte ebenfalls keinerlei Zugangsdaten.

Laut der Daten von Lacework werden 95 Prozent der gefunden Managementoberflächen bei Amazons Web Services (AWS) gehostet, gefolgt von Googles Cloud-Angebot und OVH. Der Großteil der Oberflächen, 78 Prozent, gehörte zu Kubernetes, gefolgt von Docker Swarm mit Portainer und Swarmpit bei zusammen rund 20 Prozent. Auch erreichbar waren Oberflächen von Swagger API, Mesos Marathon und Red Hats Openshift. Die meisten offenen UIs wurden dabei in den USA gehostet (55 Prozent), gefolgt von Irland, Deutschland, Australien, Singapur und Großbritannien.

Auch geschützte UIs problematisch

Natürlich veröffentlicht Lacework die Erkenntnisse nicht ohne Eigennutz, hat sich das Unternehmen doch auf AWS-Security spezialisiert. Wie das Unternehmen in seiner Mitteilung schreibt, erhöhen aber auch mit Zugangsdaten geschützte Management-UIs die Angriffsfläche. Denkbar seien Brute-Force- und Dictionary-Angriffe, aber auch das Ausnutzen von Sicherheitslücken und Zugriffe auf Zertifikate.

Auch aus diesem Grund empfiehlt zum Beispiel Kubernetes-Initiator Google für seine Cloud, das Kubernetes-UI zu deaktivieren. Auch Lacework gibt verschiedene Tipps zum sicheren Umgang mit Containerverwaltungen. Neben einer Multi-Faktor-Authentifizierung empfehlen sie, den Zugang von UI- und API-Ports zu regulieren. TLS und valide Zertifikate helfen ebenso wie ein Bastion Host. Für Kubernetes empfiehlt die Firma, die Pods nur mit einem Read-only-Dateisystem zu betreiben, Privilege Escalation zu beschränken und eine Pod-Security-Policy zu entwerfen.



Anzeige
Top-Angebote
  1. 54,99€
  2. 59,99€
  3. 99,00€
  4. (aktuell u. a. AMD Ryzen 7 2700 + The Division 2 219,90€)

ul mi 04. Jul 2018

98.5% der gefundenen Managementoberflächen waren zugangsgeschützt. ;-)

Some0NE 04. Jul 2018

rm -rf / Dann ist wenigstens der Rest der Netizens geschützt.


Folgen Sie uns
       


Shadow Ghost - Test

Wir testen die Streamingbox Shadow Ghost und finden Bildartefakte und andere unschöne Fehler. Der Streamingdienst hat mit der richtigen Hardware aber Potenzial.

Shadow Ghost - Test Video aufrufen
Windenergie: Mister Windkraft will die Welt vor dem Klimakollaps retten
Windenergie
Mister Windkraft will die Welt vor dem Klimakollaps retten

Fast 200 Windkraft-Patente tragen den Namen von Henrik Stiesdal. Nachdem er bei Siemens als Technikchef ausgestiegen ist, will der Däne nun die Stromerzeugung auf See revolutionieren.
Ein Bericht von Daniel Hautmann

  1. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  2. Fistuca Der Wasserhammer hämmert leise
  3. Windenergie Wie umweltfreundlich sind Offshore-Windparks?

Trüberbrook im Test: Provinzielles Abenteuer
Trüberbrook im Test
Provinzielles Abenteuer

Neuartiges Produktionsverfahren, prominente Sprecher: Das bereits vor seiner Veröffentlichung für den Deutschen Computerspielpreis nominierte Adventure Trüberbrook bietet trotz solcher Auffälligkeiten nur ein allzu braves Abenteuer in der deutschen Provinz der 60er Jahre.
Von Peter Steinlechner

  1. Quellcode Al Lowe verkauft Disketten mit Larry 1 auf Ebay
  2. Wet Dreams Don't Dry im Test Leisure Suit Larry im Land der Hipster
  3. Life is Strange 2 im Test Interaktiver Road-Movie-Mystery-Thriller

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Pauschallizenzen CDU will ihre eigenen Uploadfilter verhindern

    •  /