安全研究人員警告說，大量的Kubernetes集群正由于錯誤配置Argo Workflows實例從而導致很容易受到攻擊。

　　Argo Workflows是一個開源的容器原生工作流引擎，主要用于協調Kubernetes上的并行工作，加快機器學習和大數據處理等計算密集型工作的處理速度，同時它也被用來簡化一般的容器部署。同時，Kubernetes也是一個流行的容器編排引擎，可以用于管理云部署。

　　根據Intezer的分析，由于一些實例可以讓用戶通過儀表盤訪問，不需要對外部用戶進行身份驗證，惡意軟件運營商可以通過Argo將加密軟件投放到云容器中。因此，這些配置錯誤的權限可以讓攻擊者在受害者的環境中運行具有攻擊性的代碼。

　　根據Intezer在周二發表的分析報告中稱，在許多情況下，默認配置的權限使得任何用戶都可以部署工作流程。在權限配置錯誤的情況下，攻擊者有可能會訪問一個開放的Argo儀表板，并進行他們的網絡攻擊。

　　研究人員說，錯誤的配置還可能會暴露敏感信息，如代碼、憑證和私人容器鏡像的名稱（可用于協助其他類型的攻擊）。

　　Intezer通過對網絡掃描，發現了大量的未受保護的實例，它們由包括技術、金融和物流行業在內的幾個公司運營。

　　Intezer稱：“我們目前已經確定了受感染的節點，由于涉及到數百個錯誤部署的容器，以后有可能會發生更大規模的攻擊。在其中一個案例中，惡意代碼在Docker Hub的一個暴露的集群上運行了九個月之后才被發現。”

　　實施攻擊并不難。研究人員觀察到包括Kannix和XMRig在內的很多流行的惡意軟件被投放在Docker Hub等存儲庫的容器中，網絡犯罪分子只需要通過Argo或其他途徑將這些容器中的一個拉入Kubernetes就能完成攻擊。例如，微軟最近就調查了很多礦工通過運行機器學習工作流程的Kubeflow框架攻擊Kubernetes的案例。

　　研究人員說：“在Docker Hub中，發現仍然有許多攻擊者可以使用的Monero選項。我們通過簡單的搜索，發現至少有45個容器有數百萬的下載量”。

　　如何檢查Argo的錯誤配置

　　研究人員指出，查看權限是否配置正確的最簡便的方法是嘗試從企業環境外部使用未經認證的隱身瀏覽器來訪問Argo工作流儀表板。

　　研究人員補充說，一個更有技術含量的檢查方法是訪問一個實例的API并檢查狀態代碼。

　　根據分析，作為一個未認證的用戶，向[your.instance:port]/api/v1/info發出一個HTTP GET請求，返回的HTTP狀態代碼為‘401未授權’，表明這個實例配置正確，而如果返回一個成功的狀態代碼為‘200成功’，則表明一個未經授權的用戶能夠訪問該實例。

　　Intezer指出，管理員還可以在日志和工作流時間線中檢查任何可疑的活動，任何運行時間過長的工作流程都可能表明有攻擊活動。

　　研究人員指出：“即使你的集群部署在云Kubernetes服務上，如亞馬遜網絡服務（AWS）、EKS或Azure Kubernetes服務（AKS），但是共同責任模式規定，應該由云客戶來負責他們部署的應用程序的所有必要的安全配置”。

　　錯誤的云端配置為網絡攻擊提供了媒介

　　錯誤的配置現在仍然困擾著云計算領域和各種組織。去年秋天的一項分析發現，6%的谷歌云鏡像配置錯誤，并且向公共互聯網開放，任何人都可以訪問其中的內容。

　　有時這些失誤會成為頭條新聞。今年3月，Hobby Lobby公司被揭露將138GB的敏感信息放在一個向公眾開放的cloud bucket中。這些信息包括客戶姓名、部分支付卡細節、電話號碼、物理和電子郵件地址。

　　根據云原生計算基金會（CNCF）2020年的一項調查，有91%的受訪者正在使用Kubernetes，受訪者表示，使用和部署容器的最大的困難是部署的復雜性和安全性。

　　Intezer研究人員指出：“Kubernetes……是GitHub上最受歡迎的存儲庫之一，有超過10萬個提交和超過3000個貢獻者，每年使用Kubernetes的企業和他們部署的集群數量都在穩步增長。由于企業在使用容器和Kubernetes集群面臨的這些安全性的挑戰，攻擊者很有可能會利用容器安全方面的漏洞，進行大范圍的攻擊”。