מחקר של אקווה סקיוריטי מצא: כלי ממשק המשתמש בסביבת הענן קוברנטיס הופכים לנשק חם

במשך שנים רבות, תוקפים במרחב הסייבר עושים שימוש זדוני בקמפיינים שלהם בכלים לגיטימיים המאפשרים גישה מרחוק (RATs), באמצעות שידול משתמשים להתקין אותם בתואנות כי בכוונתם לסייע מרחוק לפתור בעיות תוכנה. לפני כשנה למדנו כי באופן דומה תוקפים בסביבת ענן החלו לנצל כלים לגיטימיים לצורך תקיפה, כשהם עושים שימוש בכלי ממשק משתמש (UI) כדי לקבל גישה לתוכנת הקוד הפתוח בסביבות ענן (Docker או Kubernetes).

כלי ממשק המשתמש בקובנרטיס חשופים למתקפות זדוניות

ישנם יישומים רבים המשמשים ככלי ממשק משתמש בקובנרטיס. חלק מהם, כמו cAdvisor וכמו Kubernetes Operational View, מאפשרים צפייה בסביבה בלבד, אך אחרים מאפשרים גישה ושליטה. חוקרי אבטחת המידע של אקווה סקיוריטי, המפתחת פתרונות אבטחת מידע לסביבות הענן, בחנו שגיאות בהגדרות התצורה של כלי ממשק משתמש של קוברנטיס, הנגישים בדפדפן במרחב המקוון, תוך התמקדות בשלושה כלי ממשק מרכזיים. הנחת המוצא של צוות המחקר של אקווה הייתה כי כל כלי ממשק המשתמש החשופים שיתגלו יימצאו כמלכודת דבש (Honeypot) של חברות אבטחת מידע (פרקטיקה נפוצה שמבוצעת גם על ידי צוות המחקר של אקווה). בפועל התגלו סביבות בעלות סממנים המעידים על סביבת עבודה אמיתית של חברות, וכמה מהן אף נוצלו באופן פעיל על ידי תוקפים.
אלו הכלים שנבדקו במסגרת המחקר:

Weave Scope – כלי תצוגה וניטור עבור Docker וקוברנטיס, המאפשר גישה בזמן אמת ליישומים, תשתיות ונתונים ומספק אבחון בעיות. על מנת לאתר מכונות בעלות ממשק משתמש של כלי זה שחשוף למרחב המקוון, נעשה שימוש ב-Shodan, מנוע חיפוש למכשירים המחוברים לאינטרנט, שאיתר 58 ממשקי משתמש. לאחר סינון והסרת תוצאות לא רלוונטיות וממשקים מוגנים בסיסמה, נותרו עשרה שסומנו כחשופים לאינטרנט. ממשקי משתמש אלו אפשרו לתוקפים לקבל נראות מלאה על סביבת הקוברנטיס שלהם.

Kubernetes Dashboard – ממשק משתמש מבוסס רשת המיועד עבור קוברנטיס במסגרתו המשתמש יכול לנטר עומסי עבודה הפועלים במקביל ביישום אחד. במסגרת החיפוש שנעשה איתר צוות המחקר 2,073 ממשקים ולאחר סינון התוצאות נמצאו 27 ממשקי משתמש שמאפשרים גישה חשופה לאינטרנט ללא דרישה לאימות משתמש. סביבות חשופות אלו מאפשרות לתוקפים לאתר דרך ממשק המשתמש של הקוברנטיס סיסמאות שנגישות בקלות לתוקפים. חלקן עשויות לגרום נזק לארגון, משום שהן עשויות לאפשר גישה למסדי נתונים, לחשבון הענן וכדומה. וקטור ההתקפה הזה אינו חדש. בעבר, חברות כמו יצרנית הרכב טסלה הותקפו באמצעות תצורות שגויות בממשק המשתמש Kubernetes Dashboard.

Octant – זהו ממשק רשת מבוסס קוד פתוח לבדיקת מערכות ויישומים של קונברנטיס. ממשק זה מייצר נראות ברורה בתוך אשכולות הפעילות של סביבת הקוברנטיס, מאתר באגים, ומאפשר אינטראקציה באמצעות ממשק שורת פקודה (Command Line Interface). בחיפוש הראשוני שנעשה במסגרת המחקר אותרו תשעה ממשקי משתמש חשופים לאינטרנט, כאשר ארבעה מתוכם אפשרו גישה מלאה ללא אימות משתמש. לדעת החוקרים במקרה זה כולם היו מלכודת דבש, אך במידה ולא כך היה הדבר, תוקפים שמקבלים גישה לסביבה שכזו עלולים להסב נזק משמעותי לארגון.

כיצד ניתן למתן את הסיכונים הללו?

ממשקי המשתמש בקוברנטיס הם כלים שימושיים שמטרתם לספק למפתחים נראות מקסימלית. חלקם, כגון הכלים שהוצגו כאן, מאפשרים גישה מלאה לשרת לרבות הרצת פקודות. בכל מקרה של שגיאות בהגדרות התצורה של התוכנה, באופן המאפשר גישה לממשק המשתמש באמצעות האינטרנט וללא סיסמה חזקה שתמנע כניסה של גורמים זדוניים, הארגון עלול להישאר חשוף למתקפות חמורות, שיעניקו לתוקפים שליטה מלאה על סביבת הארגון. מגוון הטכניקות בהן משתמשים הגורמים המאיימים מדגיש עד כמה וקטור ההתקפה הזה הפך לפופולרי בתקופה האחרונה. בתוך כך, פעולות הקשחה ותצורה נכונה של שירותי ענן יכולות לצמצם משמעותית את שטח ההתקפה הפוטנציאלי ולמנוע מתקפות המכוונות לכלי ממשק המשתמש בעלי הגדרות תצורה שגויות בסביבת הקוברנטיס.

"כדי להתגונן מפני איומים מסוג זה, חשוב לעקוב אחר נהלי האבטחה הרלבנטיים לכלים השונים שתומכים במערכות סביבות ענן כמו קוברנטיס בכלל וכלים המאפשרים הרצת קוד בפרט״, אומר אסף מורג מצוות המחקר באקווה סקיוריטי. "לכל ארגון מומלץ לייצר רשימה של מערכות מורשות שנבדקו ונמצאו מתאימות לפעילות הארגון בענן תוך הקפדה מתמשכת כי הן נקיות מתוכנות זדוניות וחולשות". מורג מוסיף, כי "חשוב לוודא שההתקנה והגדרות התצורה של התוכנות השונות שתומכות בטכנולוגיות ענן יבוצעו על ידי גורמים מוסמכים שמודעים לסכנות אבטחת המידע ולהשלכות השימוש בכל תוכנה״.

אודות אקווה סקיוריטי

אקווה סקיוריטי (Aqua Security)  היא החברה המובילה בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן. לקוחות אקווה הם הארגונים הגדולים בעולם בענפים כגון: בנקים, חברות ביטוח, ממשל, שירותים פיננסים, מדיה, ייצור וקמעונאות. הפלטפורמה של אקווה מאבטחת מגוון רחב של סביבות ענן ציבורי ופרטי: קונטיינרים, serverless ומכונות וירטואליות בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה כ-500 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל.

למידע נוסף בקרו ב- www.aquasec.com ועקבו אחרינו ב- twitter.com/AquaSecTeam.