尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到国外某安全团队披露了一起Kubernetes集群中机器学习工具包Kubeflow的挖矿事件，黑客利用Kubeflow未授权访问漏洞，可远程执行命令并控制服务器。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Kubeflow是一个在Kubernetes中运行机器学习任务的流行开源框架。

默认情况下，Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用，但部分情况下，用户将Istio服务修改为Load-Balancer，这会将服务（名称空间istio-system中的istio-ingressgateway）暴露给互联网，从而导致Kubeflow仪表板可以通过互联网被任何人进行访问，攻击者可利用Kubeflow未授权访问漏洞部署恶意或后门容器等，从而远程执行命令并控制服务器。

风险等级

高风险

漏洞风险

攻击者可利用Kubeflow未授权访问漏洞部署恶意或后门容器等 ，从而远程执行命令并控制服务器。

修复建议

腾讯云提供的TKE(Tencent Kubernetes Engine)服务默认配置不受影响，用户若单独安装了kubeflow组件并进行了配置修改，建议您通过如下方式进行风险自查：

1）检查Kubernetes集群中是否存在恶意容器，参考命令：

kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs_

2）如果Kubeflow部署在集群中，请确保它的仪表板不会暴露在互联网上，可检查Istio ingress服务的类型，确保它不是一个具有公共IP的负载均衡器，参考命令：

kubectl get service istio-ingressgateway -n istio-system

漏洞参考

1）外部分析参考：https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/