【安全通告】Kubeflow特定配置未授权访问漏洞风险预警
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到国外某安全团队披露了一起Kubernetes集群中机器学习工具包Kubeflow的挖矿事件,黑客利用Kubeflow未授权访问漏洞,可远程执行命令并控制服务器。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Kubeflow是一个在Kubernetes中运行机器学习任务的流行开源框架。
默认情况下,Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用,但部分情况下,用户将Istio服务修改为Load-Balancer,这会将服务(名称空间istio-system中的istio-ingressgateway)暴露给互联网,从而导致Kubeflow仪表板可以通过互联网被任何人进行访问,攻击者可利用Kubeflow未授权访问漏洞部署恶意或后门容器等,从而远程执行命令并控制服务器。
风险等级
高风险
漏洞风险
攻击者可利用Kubeflow未授权访问漏洞部署恶意或后门容器等 ,从而远程执行命令并控制服务器。
修复建议
腾讯云提供的TKE(Tencent Kubernetes Engine)服务默认配置不受影响,用户若单独安装了kubeflow组件并进行了配置修改,建议您通过如下方式进行风险自查:
1)检查Kubernetes集群中是否存在恶意容器,参考命令:
kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}” | grep -i ddsfdfsaadfs_
2)如果Kubeflow部署在集群中,请确保它的仪表板不会暴露在互联网上,可检查Istio ingress服务的类型,确保它不是一个具有公共IP的负载均衡器,参考命令:
kubectl get service istio-ingressgateway -n istio-system