申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜

申博_安全预警 申博 136次浏览 已收录 0个评论

申博官网

申博官网,老品牌,有信誉,精彩尽在申博官网。

,

如今市场上统共有40000多个自力的容器托管平台,这些平台具有默许的容器设置,可以疾速被辨认。 Kubernetes和Docker容器平台各自都有凌驾20000个自力的容器。但这并不一定意味着这4万多个平台中的每一个容器都轻易遭到进击,以至是敏感数据的走漏。别的,云效劳中看似简朴的毛病设置可以会对构造形成严重影响。比方,Docker Hub丧失的19万个帐户的密钥和令牌就是进击者应用云环境中的密钥和令牌存储的弱平安设置的效果。另有-Ladders(美国最受迎接的雇用网站)在本年发生了凌驾1370万用户信息被泄漏的事宜,缘由就是基本容器设置毛病。

在本文的研讨中,研讨职员可以运用简朴的搜刮词轻松地在环球找到20353个Kubernetes容器。这些容器位于美国、爱尔兰、德国、新加坡和澳大利亚,个中绝大多半托管在Amazon上。研讨职员还可以运用简朴的搜刮词轻松地在环球找到23354个Docker容器,这些容器离别托管在中国、美国、德国、香港和法国,个中绝大多半托管在Amazon上。

然后,研讨职员对这些暴露在网络中的容器举行了进一步的研讨,以相识哪些效劳被暴露,哪些信息被泄漏。研讨职员发明这些网站不只向民众公然了数据库实例,而且还公然了个人信息。

下面的研讨重点引见了Unit 42对毛病设置容器的研讨效果、辨认公然效劳的要领以及庇护容器效劳的减缓步伐。在本文中,研讨职员将辨认容器效劳中罕见的毛病设置。这许可研讨职员的读者以一种更平安、更私有的体式格局布置他们的容器平台构造,从而防备了研讨职员在本文中引见的数据网络要领。

云效劳

云效劳可所以经由过程互联网衔接供应的任何效劳,云效劳许可构造疾速布置、保护和支撑须要专用效劳可用性的项目,这些效劳可以会在其设想的效劳产物中碰到需求波动,罕见的例子有API网关、web效劳和数据库。受治理的效劳供应商或自助效劳的内部构造增进了多个编排平台,这些编排平台为容器供应了设置功用,并可认为平台供应战略实行。此功用涵盖平安性或考核日记纪录,基于角色的接见掌握以及针对云基本架构的网络衔接强迫实行。挑选适宜的编排平台或效劳供应商可以极大地辅佐云容器的平安。

经由过程Shodan能发明什么线索?

为了肯定哪些云效劳和容器平台暴露于外网中, Unit 42运用了Shodan。虽然本次研讨的重点不是辨认物联网装备,但一些雷同的手艺可以用于辨认衔接到外网的云体系和容器。与物联网装备一样,容器也与互联网相连,并可以因设置不当而被公然暴光。

Shodan会不断地扫描可公然接见的网络地点空间,举行请求,然后纪录每一个特定地点的每一个端口或效劳的相应。相应被保存到数据库中,然后供应给Shodan成员。Shodan供应了加强的体系剖析、效劳分类和标记特征等效劳,这些效劳供应了对每一个辨认体系的功用和局限的进一步相识。个中一些数据可以经由过程免费的Shodan帐户取得,一般有一个速度限定,以防备自动滥用,而由Shodan团队谋划的其他剖析内容仅对付费帐户持有人可用。付费会员优点的例子有:增添返回效果的速度限定、针对细致搜刮请求的高等过滤功用、增添对特定净局限变化的警报、对预定义规范的自动扫描,以及查询特定剖析标记的才。为了突出在本博客中肯定的查找容器效劳的易用性,可以运用一个免费的Shodan帐户来实行下面的示例。

寻觅暴露在网络中的默许容器

简朴地运用“kubernetes”、“docker”以至“k8s”(kubernetes的缩写,因为在“k”和“s”之间有8个字符)的症结术语举行搜刮,就可以用来辨认默许的容器。

以下是一些运用Shodan网站的简朴搜刮示例和效果:

Kubernetes

对术语“Kubernetes”举行Shodan搜刮,统共获得20353个包括该术语的装备。另有分外的元数据信息返回,这许可研讨职员深切研讨可以风趣的效果。诸如热点国度,效劳,构造,操纵体系和产物之类的项目。从返回的信息中可以看到,美国具有数目最多的包括术语“Kubernetes”的装备,研讨职员还可以看到Amazon.com是托管这些装备中大多半的构造。。

图2演示了一个运用Shodan敕令行接口(CLI)东西的示例。它显现了一个特定症结字的’ count ‘功用示例。在本例中,包括症结字“Kubernetes”的装备的当前计数,如图所示,装备的总数与图1雷同。有关Shodan CLI供应的可用敕令的更多信息,请关注Shodan CLI页面。可以如许说,具有Shodan搜刮的可编写剧本的功用关于愿望实行庞杂搜刮的研讨职员异常有益。

申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜

Shodan CLI Kubernetes查询效果

图3显现了统共509个包括术语“k8s”的装备,值得注重的是,美国仍然是返回效果最多的国度,而Amazon.com仍然是托管k8s装备最多的平台。

Shodan的CLI也显现了k8s装备的雷同计数值;

申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜

图5显现了23354个包括“ Docker”一词的装备,这比Kubernetes装备多1001个,这多是因为Docker是一个更老、更成熟的容器平台。

搜刮效果显现,Kubernetes和Docker容器平台都有凌驾20000个装备器公然暴露在网络上,而且Kubernetes平台还具有多达509个运用其常常使用缩写k8设置的装备。这并不一定意味着这40000多个平台中的每一个都轻易遭到破绽应用或潜伏的敏感数据走漏,它只是着重指出,纵然以没法重命名容器的最基本情势,也存在设置毛病的做法

寻觅暴露在网络中的默许效劳

为了肯定设置毛病的容器效劳所面对的风险,研讨职员起首须要为研讨职员的研讨竖立基准并相识研讨职员正在研讨的环境。默许状况下,Elastic,Kibana和MySQL效劳离别运用以下端口9200、5601和3306。Shodan可以供应关于每一个效劳中有若干可以被大众接见的基本信息。

Elastic数据库

Elastic数据库运用TCP端口9200作为数据库中包括的数据的默许Rest API接口,当经由过程浏览器导航到Elastic数据库时,用户将看到一个JSON花样的相应,个中包括许可检察的数据集。图6显现了一个Shodan搜刮的效果,研讨职员计算了向民众开放TCP端口9200的装备的总数。共有144.8万台装备被确认,个中130万台位于美国境内。快要一半的装备(775284)返回了“googleusercontent[.]com”域。当在谷歌基本架构内的已知问题上实行与域和端口9200相干的分外研讨时,致使这是一个托管在谷歌云基本架构上的Elastic效劳。这是一个异常有力的目的,表明险些一切这些被辨认的装备都承载着Elastic效劳,该域也占一切Elastic效劳的53%。

Kibana

Kibana是一个数据库可视化东西,用于向用户供应图形用户界面(GUI)来检察数据库信息。默许状况下,Kibana经由过程TCP端口5601运用HTTPS web浏览器衔接。在图7中,研讨职员显现了一个Shodan搜刮的效果,研讨职员计算了向民众开放TCP端口5601的装备总数。统共辨认出349403台装备,个中288159台位于美国境内。与Elastic效果的状况一样,大多半条目(56635条)来自“incapdns[.]net”域。此域是一个为构造供应虚拟主机效劳的网站托管效劳。该域占一切端口5601条目的16%。

MySQL

CVE-2019-3648漏洞分析

SafeBreach Labs安全研究人员在McAfee反病毒软件所有版本中发现了一个新的漏洞。本文将证明如何利用该漏洞来绕过McAfee的自防御机制,并加载任意未签名的DLL到多个以NT AUTHORITY\SYSTEM运行的服务中来实现防御绕过和驻留。 注:为成功利用该漏洞,攻击者需要有administrator管理员权限。 McAfee Total Protection McAfee Total Protection提供病毒、身份和隐私保护等多个功能。该软件的多个组成部分以NT AUTHORITY\SYSTEM权限的Windows服务的形式运行,权限很大。 漏洞 漏洞发现 研究人员发现以签名的进程和NT AUTHORITY\SYSTEM权限运行的McAfee软件的多个服务尝试加载 c:\Windows\System32\wbem\wb

默许状况下,MySQL协定用于增进经由过程TCP端口3306与SQL数据库的网络通信。图8中显现了Shodan搜刮的效果可以看出向民众开放TCP端口3306的装备总数。环球共有481.6万台装备,个中213.8万台位于美国境内。风趣的是,Google Cloud效劳在这些效果中排名下落7位,而Amazon是托管数目最多的MySQL协定支撑效劳的域名。须要注重的是,没有哪一个托管平台承载了绝大多半支撑MySQL协定的效劳,最高的百分比仅为4%,为Amazon平台。

申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜

概括地说,这些效果为研讨职员供应一个参考架构,让研讨职员相识民众可取得的效劳的局限。在撰写本文时,有1448102台装备监听端口9200349403台装备监听端口56014816638台装备监听端口3306。须要注重的是,这些自力的体系中所包括的数据并非对民众开放的,研讨指出,绝大多半体系须要认证凭据才接见所包括的数据。另外,这些体系中可以有几个没有托管支撑Elastic、Kibana或MySQL协定的效劳,而是托管了另一个效劳,它只是监听这些效劳默许实行的雷同端口。因而,这些效果并不能很大程度上辅佐研讨职员辨认容器的毛病设置。

减少研讨局限

既然研讨职员已肯定了研讨的环境,如今研讨职员将减少局限以肯定可以存在的任何毛病设置的容器。研讨职员从增添初始基线查询最先,将多个搜刮组合在一同。比方,搜刮具有默许容器称号的默许端口,“port:9200”(Elastic数据库RestAPI端口),术语为“Kubernetes”,这类查询花样将使研讨职员可以辨认在默许Kubernetes容器平台上运转的默许Elastic效劳。

为了关注托管在Kubernetes容器上的Elastic效劳,研讨职员运用“port:9200”和“Kubernetes”举行了搜刮。从图9可以看出,效果从仅Kubernetes的20353个唯一效果(图1)和port:9200的140万个唯一效果(图6)减少到统共13个唯一效果。大部分装备都在中国境内,而美国只要2台。

申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜

为了专注于托管Elastic效劳的Docker容器,研讨职员运用“port:9200”和“Docker”作为症结辞汇举行了搜刮,图10显现了统共39个包括默许Docker容器上托管的默许Elastic效劳的装备。

申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜

研讨职员将效果减少到13个运转在默许Kubernetes平台上的默许Elastic容器和39个运转在默许Docker平台上的默许Elastic容器,而不是140万个默许Elastic容器,此数目更易于剖析和举行更深切的研讨。

Shodan纪录了每一个体系的IP地点,并运用以下Shodan CLI敕令从辨认的Elastic容器中网络这些地点:

shodan search –fields ip_str port:9200

运用生成的IP地点,研讨职员观察了选定的体系,以肯定它们是不是包括敏感信息。

示例 1

以下体系确实向民众公然了一个不受庇护的Elastic数据库,这个数据库不包括任何敏感信息,然则,它是Elastic数据库可以供应的信息范例的一个很好的例子。研讨职员导航到Elastic体系并实行搜刮查询‘<ipaddress>:9200/_search?q=*’。该查询返回以下JSON数据,参见图11。

申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜

图11。查询Elastic数据库的JSON效果

示例 2

示例 2运用了默许效劳在默许容器中包括敏感信息,研讨职员运用之前定义的URL查询花样导航到Elastic容器:

<ipaddress>:9200/_search?q=*

在观察过程当中,一个名为 “users-registered-2018*” 的数据库被辨认出来,然后研讨职员将数据库添加到搜刮查询中:

<ipaddress>:9200/users-registered-2018*/_search?q=*

研讨职员统共辨认出了包括在数据库中的19个用户电子邮件地点,参见图12。

虽然电子邮件地点的隐私性比不上信用卡号,社会保险号或其他高度敏感的信息,然则,他们会常常成为歹意行动者的目的。应用电子邮件地点举行歹意操纵的一个例子是鱼叉式网络垂纶进击。歹意行动者可以网络构造的信息,如地理位置、办公大楼的数目或范例,最主要的是,员工姓名。这些信息许可进击者构建目的电子邮件,即贸易电子邮件泄漏(BEC),个中包括受害者熟习的信息,诱使他们点击歹意链接,致使账户被泄漏。

经由进一步研讨,这个体系不仅托管了一个Elastic数据库,没有任何情势的认证机制来辅佐庇护它所包括的数据,而且还托管了别的一个不平安的效劳,一个与Elastic容器一同运转的Kibana容器。

研讨职员查询了‘<ipaddress>:5601’,而且可以接见Kibana仪表板,该仪表板包括除了最初在Elastic效劳中发明的其他数据库信息以外的其他数据库信息。别的研讨职员还发明了别的两个数据库,一个包括内部基本设施IP地点,另一个包括定制内部集成体系的日记信息。末了,从2018年9月到11月,用户注册数据库好像只要两个月的生命周期,但停止撰写本文时,这些效劳仍在运转。另外,在撰写本文时,数据库的一切者还没有肯定。

减缓步伐

1.运用那些专注于容器平安战略的云平安平台或托管效劳商;

2.经由过程运用防火墙控件或容器平台网络战略,将对容器上托管的效劳的接见限定为内部网络或事前指定的职员,以下链接可辅佐辅佐平安接见容器:

2.1Docker的iptable设置;

2.2Kubernetes的网络战略;

3. 为容器竖立基本的认证请求,以下两个链接供应了如作甚Docker或Kubernetes竖立基本认证实践的有用申明:

3.1Docker——令牌的防护;

3.2Kubernetes——身份验证的防护;

4.肯定每一个容器中存储或治理的数据范例,并运用恰当的平安性做法来确保这些数据范例的平安。

5.将效劳断绝到自身的容器中,不要在单个容器上托管多个效劳,这将进步容器自身的资本效力,并有助于实行有用的平安战略。

总结

默许设置可以会对构造形成严重的平安风险,Unit 42举行的研讨证明了搜刮默许设置的易用性,并演示了潜伏的进击者怎样应用Shodan如许的开源东西。毛病的设置,比方运用默许容器称号和使默许效劳端口暴露于外网,使构造轻易遭到目的侦察的进击。运用恰当的网络战略或防火墙可以防备内部资本暴露给大众网络。

本文翻译自:https://unit42.paloaltonetworks.com/misconfigured-and-exposed-container-services/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明申搏亚洲:容器效劳罕见的设置毛病以及由此形成的走漏事宜
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址