Kubernetes er et mye brukt administrasjonsverktøy for konteinerbaserte applikasjoner. I fjor oppdaget Cloud Security Intelligence-teamet (CSI) til sikkerhetsselskapet RedLock flere hundre Kubernetes-konsoller som var tilgjengelige over internett, uten noen form for passordbeskyttelse. Blant brukerne av disse var det britiske forsikringsselskapet Aviva, SIM-kortleverandøren Gemalto og bilprodusenten Tesla.
Dette skriver RedLock i et blogginnlegg denne uken.
Norsk Tesla-hack: Chatter med bilen via Slack
Hos Amazon
I alle fall gjennom en Kubernetes-konsoll som tilhørte Tesla, fant RedLocks sikkerhetsforskere innloggingsinformasjon til en konto i Amazons nettsky, Amazon Web Services (AWS). Denne ga tilgang blant annet en instans i lagringstjenesten Amazon Simple Storage Service (S3), som inneholdt det RedLock omtaler som sensitive data.
Men CSI-teamet var tydeligvis ikke de første til å oppdage disse mulighetene. Det ble også oppdaget at hackere fått tilgang til Kubernetes-konsollen til Tesla og hadde utnyttet dette til å installere programvare som utvinner kryptovaluta.
For å redusere mulighetene for at aktiviteten skulle bli oppdaget, var det tatt i bruk flere teknikker som RedLock omtaler som uvanlige. Dette inkluderer at den virkelige IP-adressen til den såkalte «mining pool»-serveren, var blitt skjult bak CDN-tjenesten (Content Delivery Network) CloudFlare, at det ble brukt en nettverksport som gjorde det vanskelig å oppdage den ondsinnede aktiviteten, og at CPU-bruken til utvinningsprogramvaren var temmelig lav.
Tesla skal umiddelbart ha blitt varslet om oppdagelsen, og problemet skal raskt ha blitt utbedret.
Leste du denne? Populær Chrome-utvidelse utvant kryptovaluta i bakgrunnen
Ingen brukerdata
Til The Verge sier en talsperson for Tesla at ingen kundedata skal ha blitt berørt av denne hendelsen. Kontoen skal ha blitt brukt til lagring av data fra internt brukte testbiler.
– Vi har et dusørprogram som oppmuntrer til slike undersøkelser, og vi adresserte denne sårbarheten innen få timer etter at vi ble kjent med den, sier talspersonen.
RedLock skriver i en fersk rapport at ingen av datainnbruddene som skjedde i offentlige nettskytjenester i 2017, skyldtes forsømmelse fra nettskyleverandørenes side. I stedet skyldtes innbruddene først og fremst kundenes egen mangelfulle konfigurering av tjenestene.
Tillater root
Ifølge RedLocks undersøkelser tillater 73 prosent av virksomhetene som benytter en offentlig nettskytjeneste at root-kontoen til nettskyinstansene benyttes til vanlige aktiviteter, noe blant annet Amazon fraråder på det sterkeste. I stedet bør hver bruker få separate aksessnøkler.
Selv om kapring av nettskyressurser for utvinning av kryptovaluta ikke har vært så mye omtalt til nå, skal RedLock ha funnet slik aktivitet hos 8 prosent av virksomhetene som selskapet har gransket nærmere.
Noe som kan begrense mulighetene for slik utvinning, er å innføre full blokkering av utgående trafikk i brannmuren, for så kun å åpne opp for det som er nødvendig. Men ifølge RedLock er dette uvanlig å gjøre. 80 prosent av virksomhetene har ikke innført noen begrensninger utgående trafikk fra deres instanser i offentlige nettskyer.
I tillegg har 58 prosent av virksomhetene minst én nettskybasert lagringstjeneste offentlig eksponert, uten å være klar over eller ønske dette.
Dataene i rapporten er basert på analyse på tvers av offentlige nettskytjenester som RedLock overvåker.
Les også: Tesla ga norske Varnish ideen til et nytt globalt produkt
