Schock: Lacework entdeckt tausende ungeschützte Containerverwaltungen

Das Sicherheitsunternehmen Lacework stieß im Web auf über 22.000 Managementoberflächen zum Verwalten von Containern, die vorrangig zu Kubernetes gehören. Einige davon waren völlig ungeschützt im Netz!

Lacework: Komfort und Sicherheit schwer zu vereinbaren

Eine komfortable Verwaltung ist wichtig, wenn man viele Container betreibt. Nicht umsonst erfreut sich Kubernetes großer Beliebtheit. Mit Docker Swarm oder Swarmpit gibt es zweifelsfrei auch weitere Verwaltungswerkzeuge. Oftmals bringen Plattformen dieser Art eine Web-Oberfläche mit, die mittels Public Cloud über öffentliche IP-Adressen zu erreichen sind. Jedoch hat das Sicherheitsunternehmen Lacework, welches auf die Amazon Web Services spezialisiert ist, nun knappe 23.000 dieser Managementoberflächen öffentlich zugänglich aufgespürt.

In dem verlinkten PDF ist von 22.700 Managementoberflächen die Rede, an anderer Stelle von rund 21.200. Das Team ging vermutlich systematisch bei der Suche nach Hosts und Zertifikaten vor, verwendete neben internen Werkzeugen auch Tools wie „SSL-Data-Mining“, Shodan oder simples Webcrawling.

Wenngleich die Mehrheit aller Zugänge mithilfe von Login-Daten geschützt war, standen doch 305 der aufgespürten Cluster offen – sie waren also entweder nicht durch ein Passwort geschützt oder aber sie befanden sich gerade im Setup-Prozess. Das hätte Unbefugten die Möglichkeit eines kompletten Zugriffs auf die Containerverwaltung spendiert. Via API und UI wäre auch eine Remote Code Execution denkbar. Bei der Suche tauchten 38 Server für Containerumgebungen des Health-Check-Dienstes Healthz auf; der Zugriff darauf war ohne Zugangsdaten möglich.

Lacework bietet noch einige Statistiken: 95 % der aufgespürten Management-Oberflächen sind bei Amazons Web Services (AWS) gehostet. Googles Cloud-Angebot sowie OVH folgen anschließend. Knappe 80 % der Oberflächen gehören wohl zu Kubernetes, auf zusammen etwa 20 % kommen Swarmpit und Docker Swarm mit Portainer. Weitere Oberflächen waren von Swagger API, Red Hats Openshift und Mesos Marathon erreichbar. Mehr als die Hälfte (55 %) der offenen UIs sind in den USA gehostet, es folgen Irland, Australien, Deutschland, Singapur sowie Großbritannien.

Lacework warnt: Andere Angriffe auf geschützte Management-UIs

Es sind nicht ausschließlich die ungeschützten UIs, die problematisch sind. Lacework schreibt in seiner Mitteilung, dass die Angriffsfläche auch bei mit Zugangsdaten geschützten Management-UIs ebenfalls hoch sei. Man könne Sicherheitslücken ausnutzen, auf Zertifikate zugreifen oder Dictionary- sowie Brute-Force-Angriffe starten. Das ist auch der Grund, aus dem der Kubernetes-Initiator Google für seine Cloud empfiehlt, das Kubernetes-UI zu deaktivieren.

Lacework gibt in seinen Dokumenten Tipps für einen sicheren Umgang mit Containerverwaltungen. Empfehlenswert seien eine Multi-Faktor-Authentifizierung, aber auch das Regulieren des Zugangs von UI- und API-Ports. Ein Bastion Host helfe genauso wie sichere Verschlüsselung via TLS und valide Zertifikate.