Connectez-vous avec nous

Ordinateurs et informatique

Le syndicat du cryptomining détourne les clusters Kubernetes

Microsoft a publié un nouveau rapport mettant en évidence une nouvelle série d'attaques ciblant une boîte à outils appelée Kubeflow qui est utilisée pour exécuter des opérations d'apprentissage automatique sur des clusters Kubernetes.

Les attaques ont commencé en avril de cette année et se sont poursuivies dans le but d'installer un mineur de crypto-monnaie sur les clusters Kubernetes qui sont exposés à Internet et exécutent Kubeflow.

Dans un billet de blog, ingénieur logiciel de recherche en sécurité au Centre de sécurité Azure, Yossi Weizman a fourni plus de détails sur Kubeflow et pourquoi les nœuds utilisés pour les tâches d'apprentissage automatique sont une cible si attrayante pour les cybercriminels, en disant:

«Kubeflow est un projet open-source, commencé comme un projet pour exécuter des travaux TensorFlow sur Kubernetes. Kubeflow s'est développé et est devenu un framework populaire pour exécuter des tâches d'apprentissage automatique dans Kubernetes. Les nœuds utilisés pour les tâches ML sont souvent relativement puissants et, dans certains cas, incluent des GPU. Ce fait fait des clusters Kubernetes qui sont utilisés pour les tâches ML une cible parfaite pour les campagnes de cryptage, qui était le but de cette attaque. »

Instances Kubeflow mal configurées

Microsoft a suivi ces attaques depuis leur première apparition en ligne en avril. Cependant, après la première vague d'attaque, le syndicat de cryptomining derrière eux est passé du ciblage aux clusters Kubernetes à usage général pour se concentrer spécifiquement sur ceux qui utilisent Kubeflow pour exécuter des opérations d'apprentissage automatique.

Sur la base des résultats de son enquête initiale, le géant du logiciel estime désormais que les instances de Kubeflow mal configurées sont le point d'entrée le plus probable pour les attaquants. C'est probablement le résultat des administrateurs de Kubeflow qui ont modifié les paramètres par défaut de la boîte à outils, ce qui a exposé son panneau d'administration en ligne. Par défaut, le panneau de gestion de Kubeflow n'est accessible que depuis l'intérieur du cluster Kubernetes et non via Internet.

Selon Weizman, un syndicat de cryptomining recherche actuellement activement ces tableaux de bord en ligne. Une fois trouvé, le groupe déploie une nouvelle image de serveur sur les clusters Kubeflow qui exécute une application d'extraction de crypto-monnaie Monero appelée XMRig.

Les administrateurs de serveur peuvent vérifier si leurs instances Kubeflow ont été piratées en entrant cette commande: kubectl get pods –all-namespaces -o jsonpath = ”{. items[*].spec.containers[*].image} ”| grep -i ddsfdfsaadfs. Pour éviter d'être victime de ces attaques, les administrateurs de serveur doivent s'assurer que le tableau de bord de Kubeflow n'est pas exposé à Internet.

Via ZDNet

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES