1. 首页>
  2. 资讯中心

【安全通告】Kubeflow特定配置未授权访问漏洞风险预警

腾讯云 2020年06月16日 浏览77

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云用户,您好!

近日,腾讯云安全运营中心监测到国外某安全团队披露了一起Kubernetes集群中机器学习工具包Kubeflow的挖矿事件,黑客利用Kubeflow未授权访问漏洞,可远程执行命令并控制服务器

为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

Kubeflow是一个在Kubernetes中运行机器学习任务的流行开源框架。

默认情况下,Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用,但部分情况下,用户将Istio服务修改为Load-Balancer,这会将服务(名称空间istio-system中的istio-ingressgateway)暴露给互联网,从而导致Kubeflow仪表板可以通过互联网被任何人进行访问,攻击者可利用Kubeflow未授权访问漏洞部署恶意或后门容器等,从而远程执行命令并控制服务器。

风险等级

高风险

漏洞风险

攻击者可利用Kubeflow未授权访问漏洞部署恶意或后门容器等 ,从而远程执行命令并控制服务器。

修复建议

腾讯云提供的TKE(Tencent Kubernetes Engine)服务默认配置不受影响,用户若单独安装了kubeflow组件并进行了配置修改,建议您通过如下方式进行风险自查:

1)检查Kubernetes集群中是否存在恶意容器,参考命令:

kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs_


2)如果Kubeflow部署在集群中,请确保它的仪表板不会暴露在互联网上,可检查Istio ingress服务的类型,确保它不是一个具有公共IP的负载均衡器,参考命令:

kubectl get service istio-ingressgateway -n istio-system


漏洞参考

1)外部分析参考:https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013