Microsoft ha pubblicato un nuovo report che evidenzia una nuova serie di attacchi mirati a un toolbox chiamato Kubeflow che viene utilizzato per eseguire operazioni di machine learning sui cluster Kubernetes. Gli attacchi sono iniziati nell'aprile di quest'anno e sono continuati con l'obiettivo di installare un minatore di criptovaluta sui cluster Kubernetes esposti a Internet e che eseguono Kubeflow. In un post sul blog, Yossi Weizman, ingegnere informatico di ricerca sulla sicurezza presso il Centro sicurezza di Azure, ha fornito maggiori dettagli su Kubeflow e sul perché i nodi utilizzati per le attività di machine learning sono un obiettivo così attraente per i criminali informatici, affermando: "Kubeflow è un progetto open source, iniziato come progetto per eseguire il lavoro di TensorFlow su Kubernetes. Kubeflow è cresciuto ed è diventato un framework popolare per l'esecuzione di attività di machine learning in Kubernetes. I nodi utilizzati per le attività ML sono spesso relativamente potenti e in alcuni casi includono GPU. Questo fatto rende i cluster Kubernetes utilizzati per attività di ML un bersaglio perfetto per le campagne di crittografia, che erano l’obiettivo di questo attacco. "
Microsoft ha monitorato questi attacchi da quando sono comparsi online per la prima volta ad aprile. Tuttavia, dopo la prima ondata di attacchi, il sindacato di mining di criptovalute dietro di loro è passato dal prendere di mira i cluster Kubernetes generici a prendere di mira specificamente quelli che utilizzano Kubeflow per eseguire operazioni di machine learning. Sulla base dei risultati della sua indagine iniziale, il colosso del software ritiene ora che le istanze Kubeflow configurate in modo errato siano il punto di ingresso più probabile per gli aggressori. Questo è probabilmente il risultato della modifica da parte degli amministratori di Kubeflow delle impostazioni predefinite della casella degli strumenti, che hanno esposto il loro pannello di amministrazione online. Per impostazione predefinita, il pannello di amministrazione Kubeflow è accessibile solo dall'interno del cluster Kubernetes e non tramite Internet. Secondo Weizman, un sindacato di mining di criptovalute sta indagando attivamente su questi panel online. Una volta trovato, il pool distribuisce una nuova immagine del server ai cluster Kubeflow che eseguono un'applicazione di mining di criptovaluta Monero chiamata XMRig. Gli amministratori del server possono verificare se le loro istanze Kubeflow sono state violate inserendo questo comando: kubectl get pods –all-namespaces -o jsonpath = ”{. ArticlesContainers .spec..image} "| grep -i ddsfdfsaadfs. Per evitare di cadere vittima di questi attacchi, gli amministratori del server dovrebbero assicurarsi che il pannello di controllo Kubeflow non sia esposto a Internet. Tramite ZDNet