K8s se définit comme un orchestrateur de conteneurs en Open source extrêmement polyvalent. Il permet entre autres de diriger des workloads conteneurisés par le biais d’une interface de programmation applicative uniforme. Une étude pilotée par Cyble enseigne qu’approximativement 900 000 clusters utilisant cet environnement sont aujourd’hui exposés sur Internet. Certains d’entre eux sont vulnérables aux attaques de hackers.
Les agrégats K8s (Kubernetes) représentent des systèmes informatiques comme les autres. Autrement dit, ils sont aussi potentiellement vulnérables et non prémunis contre toutes sortes de hacks . Preuve en est le piratage qu’a subi Tesla, au niveau de sa console de gestion Kubernetes, en 2018.
Bon à savoir : les experts en cybersécurité peuvent Devenir freelance pour ce leader mondial de la voiture électrique. Exécuter des missions pour la multinationale dans le cadre de cette forme d’emploi promet plusieurs avantages. Comparés aux salariés, les professionnels indépendants profitent notamment d’une flexibilité en matière de planning. Ils bénéficient également d’une liberté dans le choix de leur lieu de travail.
Les experts de Cyble démontrent également cette exposition et potentielle fragilité des clusters K8s aux attaques informatiques dans une investigation. Ils ont tenté de repérer les instances de ce système exposées sur le Web. Ceci en s’appuyant sur des requêtes de recherche et des instruments d’analyse semblable à ceux utilisés par les hackers .
L’organisme spécialisé dans la gestion des threat intel et risques a dénombré durant cette enquête 900 000 agrégats K8s. Son rapport, qui vient d’être publié, révèle que parmi ces serveurs :
Les ports TCP les plus à risque parmi les clusters les moins protégés portent sur :
Concernant les constituants des instances Kubernetes susceptibles d’être visées par une offensive, ils sont composés de :
Cyble a cependant précisé :
Cela n'implique pas nécessairement que toutes les instances exposées sont vulnérables aux attaques ou entraîneront la perte de données sensibles. […]
Sa découverte souligne plutôt, d’après l’organisation, l’existence de manipulations de mauvais paramétrage visiblement simples qui risquent de :
[…] Faire des entreprises des cibles lucratives pour les attaquants à l'avenir.
L’établissement a tenté d’estimer le nombre d’instances exposées susceptibles d’afficher un risque considérable. Il a ainsi analysé les codes d’erreur renvoyés aux commandes non authentifiées à l’interface de programmation applicative (API) Kubelet.
Les instances exposées renvoient majoritairement le code d’erreur 403. La requête non authentifiée est donc prohibée et ne peut pas arriver à son but. Ces instances sont donc préservées de toutes formes de hacks .
Il existe aussi une branche de 799 instances K8s répondant par le code d’état 200. Celles-ci sont entièrement exposées aux piratages . Sur ce sous-ensemble, les attaquants externes disposent :
Enfin, Cyble a aussi remarqué une division avec approximativement 5 000 instances renvoyant le code d’erreur 401. Ce dernier signifie que la requête est interdite. Il fournit toutefois à un hacker potentiel un indice que l’agrégat marche. Cet acteur pourrait alors tenter des piratages additionnels reposant sur des failles ou des exploits .