岌岌可危:22000多个容器编排系统暴露在网上,如 Kubernetes、Docker Swarm.....
source link: http://www.10tiao.com/html/554/201806/2654691924/3.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
据云安全专业公司Lacework周一发布的报告声称,22000多个容器编排和API管理系统的管理控制台目前暴露在互联网上。
该公司在报告中分析了云管理系统暴露在网上这个问题的广泛性,侧重于容器编排系统,比如Kubernetes、Docker Swarm、Mesos Marathon、Redhat Openshift、Portainer.IO和Swarmpit。
这些都是基于Web的管理面板,大大小小公司的系统管理员都用它们来管理公司内部基于容器的云基础设施。
默认情况下,这些系统不需要暴露在网上,除非公司的员工分散在广泛的地区,需要访问这些系统来管理基础设施。
许多公司不小心将容器控制台暴露在网上
但Lacework的研究人员警告,这些系统当中许多没有放在防火墙的后面或仅限于虚拟专用网(VPN)、因而得到合理的保护,这意味着谁都可以借助基本的渗透测试工具结合Shodan之类的物联网搜索引擎就能找到它们。
Lacework说:“虽然绝大多数这些管理界面都设有登录信息,但全世界都能够访问它们没什么道理,因而它们极容易受到攻击。”
该公司补充道:“这些节点实际上是搜索互联网方面稍微有点本事的人闯入这些企业组织的云环境的入口。这些企业组织以及同样犯这个错误的其他企业无异于暴露在蛮力密码攻击和字典攻击面前。”
300多个管理面板未设密码暴露在网上
Lacework表示,它发现这些容器编排管理面板当中22672个暴露在网上,其中305个根本未设置密码。
研究人员还发现,运行“healthz”这项安全和健康检查服务的38台Kubernetes服务器也根本没有任何身份验证机制。
这些容器中的95%以上托管在亚马逊网络服务(AWS)基础设施上,其中58%托管在AWS美国地区。
根据按照Lacework的研究编制的图表显示,超过四分之三的这些暴露的面板在运行Kubernetes实例。
Lacework研究报告
过去这几年,信息安全新闻网站一直不断报道因系统管理员忘记为MongoDB、ElasticSearch和Kubernetes等服务器设置密码而造成泄密事件的新闻。
Lacework报告还介绍了避免这类暴露和加强容器管理面板安全的基本忠告,报告强调了在如今的IT环境下一个日益严峻的趋势:许多系统管理员似乎已把密码、防火墙和访问控制列表(ACL)的好处忘得一干二净。
报告:
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK