Abo
  • Services:

Lacework: Mehr als 22.000 Containerverwaltungen öffentlich zugänglich

Die auf Amazons Web Services spezialisierte Sicherheitsfirma Lacework hat im Netz mehr als 22.000 Managementoberflächen zur Containerverwaltung gefunden, die hauptsächlich zu Kubernetes gehören. Als wäre das nicht schon schlimm genug, waren einige auch völlig ungeschützt im Netz.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar.
Eine Vielzahl von Kubernetes-UIs ist im Netz auffindbar. (Bild: US Coast Guard Academy/Public Domain)

Wer viele Container betreibt, möchte diese komfortabel verwalten. Kubernetes erfreut sich in diesem Zusammenhang zunehmender Beliebtheit, doch es gibt auch andere Verwaltungswerkzeuge wie Portainer oder Docker Swarm. Viele dieser Plattformen bringen Weboberflächen mit, die dank der Public Cloud über öffentliche IP-Adressen erreichbar sind. Die Sicherheitsfirma Lacework hat nun rund 22.700 solcher Managementoberflächen öffentlich zugänglich aufgefunden.

Stellenmarkt
  1. ABUS Security-Center GmbH & Co. KG, Affing
  2. CURRENTA GmbH & Co. OHG, Leverkusen

Die Zahlen weichen in den beiden zur Verfügung gestellten Dokumenten allerdings leicht voneinander ab, an anderer Stelle ist von rund 21.200 die Rede. Gefunden hat das Team die Instanzen über verschiedene Techniken wie ein einfaches Web-Crawling, die Nutzung von Shodan, "SSL-Data-Mining", also vermutlich eine systematische Suche nach Zertifikaten und Hosts, sowie internen Werkzeugen.

Zwar war die Mehrheit der Zugänge über Logindaten geschützt, aber 305 der gefundenen Cluster standen offen, waren also nicht per Passwort geschützt oder befanden sich noch im Setup-Prozess. Unbefugte hätten also kompletten Zugriff auf die Containerverwaltung, auch eine Remote Code Execution wäre über die API und User Interface möglich. Auch 38 Server mit einem Health-Check-Dienst namens Healthz für Containerumgebungen tauchten in der Suche auf. Der Zugriff auf diese erforderte ebenfalls keinerlei Zugangsdaten.

Laut der Daten von Lacework werden 95 Prozent der gefunden Managementoberflächen bei Amazons Web Services (AWS) gehostet, gefolgt von Googles Cloud-Angebot und OVH. Der Großteil der Oberflächen, 78 Prozent, gehörte zu Kubernetes, gefolgt von Docker Swarm mit Portainer und Swarmpit bei zusammen rund 20 Prozent. Auch erreichbar waren Oberflächen von Swagger API, Mesos Marathon und Red Hats Openshift. Die meisten offenen UIs wurden dabei in den USA gehostet (55 Prozent), gefolgt von Irland, Deutschland, Australien, Singapur und Großbritannien.

Auch geschützte UIs problematisch

Natürlich veröffentlicht Lacework die Erkenntnisse nicht ohne Eigennutz, hat sich das Unternehmen doch auf AWS-Security spezialisiert. Wie das Unternehmen in seiner Mitteilung schreibt, erhöhen aber auch mit Zugangsdaten geschützte Management-UIs die Angriffsfläche. Denkbar seien Brute-Force- und Dictionary-Angriffe, aber auch das Ausnutzen von Sicherheitslücken und Zugriffe auf Zertifikate.

Auch aus diesem Grund empfiehlt zum Beispiel Kubernetes-Initiator Google für seine Cloud, das Kubernetes-UI zu deaktivieren. Auch Lacework gibt verschiedene Tipps zum sicheren Umgang mit Containerverwaltungen. Neben einer Multi-Faktor-Authentifizierung empfehlen sie, den Zugang von UI- und API-Ports zu regulieren. TLS und valide Zertifikate helfen ebenso wie ein Bastion Host. Für Kubernetes empfiehlt die Firma, die Pods nur mit einem Read-only-Dateisystem zu betreiben, Privilege Escalation zu beschränken und eine Pod-Security-Policy zu entwerfen.



Anzeige
Top-Angebote
  1. 259,00€
  2. (u. a. One 219,99€)
  3. 699€ (PCGH-Preisvergleich ab 755€)

ul mi 04. Jul 2018

98.5% der gefundenen Managementoberflächen waren zugangsgeschützt. ;-)

Some0NE 04. Jul 2018

rm -rf / Dann ist wenigstens der Rest der Netizens geschützt.


Folgen Sie uns
       


Alexa-App für Windows 10 ausprobiert

Wir stellen Alexa über die neue Windows-10-App einige Fragen und natürlich erzählt sie auch wie immer einen Witz.

Alexa-App für Windows 10 ausprobiert Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Mars Insight: Nasa hofft auf Langeweile auf dem Mars
Mars Insight
Nasa hofft auf Langeweile auf dem Mars

Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

  1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  2. Mars Die Nasa gibt den Rover nicht auf
  3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

    •  /