广告

小心破坏Kubernetes的Windows容器恶意软件

  • 浏览(73)
  • 评论(0)
  • 译者:k8s

今年3月,Palo Alto Networks首席安全研究员Daniel Prizmant发现了针对Windows容器的恶意软件,称该漏洞为“Siloscape”。他在一篇博文中写道,“鉴于过去几年中云应用的激增,这种攻击的出现并不令人惊讶。”

在本文中,Prizmant描述了是什么使得Siloscape在Linux和Windows容器中对Kubernetes集群构成威胁。

Prizmant解释说,Siloscape的设计目的是滥用Windows容器架构中的一个缺陷,使其能够“收获”Kubernetes集群的处理能力。在修复程序发布之前,它影响到任何使用Windows容器管理Kubernetes集群的人。

“因此,基本上,你有一个集群,而集群中的一个Windows容器没有得到安全保护或(正确)配置,就足以让Siloscape兴风作浪了。”

Prizmant补充道:“为了控制整个集群,集群中可以有100个Linux容器,但只有一个Windows容器可以访问集群的其余部分,从而控制整个集群的其余部分,包括Linux容器。”

“Siloscape旨在搜索开放的Windows容器,并从中控制集群的其余部分。”

一旦成功,Siloscape攻击者可以访问Web服务器,并发起网络钓鱼攻击或破坏服务器上的数据库。Prizmant说:“能做的是无止境的,这取决于受害者使用集群的目的。”

发现漏洞

当Prizmant加入Palo Alto Networks的Linux团队时,他是“唯一一个使用Windows的人”。然后,他开始对Windows容器进行反向工程,并在这样做的过程中了解到了该漏洞。

“我认为社区意识到这一点很重要,因为微软没有立即修复它。他们只是在几个月前才解决了这个问题,而不是在我报告了这个问题后马上解决。”

微软不认为Siloscape是一个漏洞,因为它推荐使用Hyper-V隔离,Window Server容器使用它,微软声称可以为开发者提供保护,因为它们提供“与用于生产相同的内核版本和配置。”

换句话说:微软暂时没有保证没有与Hyper-V隔离一起使用的Windows容器的安全性。

“他们认为这不是安全问题,不认为服务器文件是安全边界。但实际上他们修复了。”

Prizmant指出,有很多组织可能对报告安全问题保持沉默,特别是当有组织不认为存在漏洞时。没有人愿意承认他们的代码中存在安全问题或漏洞。比如微软就将其描述为默认情况下不受保护。”

原文链接:
https://thenewstack.io/siloscape-windows-container-malware-that-breaks-kubernetes/

  • 分享到:
  • icon
  • icon
  • icon
  • icon
箭头