阿里云首页> 安全公告> 【漏洞预警】Kubeflow未授权访问漏洞

【漏洞预警】Kubeflow未授权访问漏洞

近日,阿里云应急响应中心监测到国外某安全团队披露了一起针对Kubernetes集群中的机器学习工具包Kubeflow的挖矿事件。黑客通过Kubeflow未授权访问漏洞,可以远程执行命令并控制服务器。


漏洞描述

Kubernetes是一款开源的容器编排引擎,Kubeflow功能可通过连接到仪表板的API服务器使用,用户可利用该仪表板来管理其任务。默认情况下,Kubeflow仪表板仅能通过位于群集边缘的Istio入口网关使用,但部分用户将Istio服务修改为Load-Balancer,从而导致Kubeflow仪表板可以通过互联网进行访问。攻击者通过Kubeflow未授权访问漏洞,可以部署恶意容器等,从而远程执行命令并控制服务器。漏洞实际利用需要用户更改默认配置,为彻底防止漏洞风险,阿里云应急响应中心提醒Kubeflow用户尽快及时自查并采取安全措施以阻止漏洞攻击。


安全建议

1. 确认Kubernetes集群中没有被部署恶意容器服务。可以通过以下命令进行检查:

kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs 



2. 确保Istio服务不是具有公网IP的Load-Balancer,即Kubeflow仪表盘不直接对公网开放。可以通过以下命令检查

kubectl get service istio-ingressgateway -n istio-system



阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测


参考链接

https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.6.14