Blog WatchGuard

Kubernetes, un vecteur de cyberattaques contre réseau d’entreprise

Les autorités américaines et britanniques ont émis une alerte conjointe concernant le groupe russe APT-28. Elles expliquent que ce dernier a utilisé Kubernetes comme un vecteur d’attaque pour s’introduire au sein de réseaux d’entreprises privées et d’institutions gouvernementales. Ils ont accédé à cette plateforme à l’aide de techniques basées sur le « password spraying » et, une fois à l’intérieur, se sont déplacés entre les conteneurs des entreprises et ont réaffecté des privilèges en exploitant les vulnérabilités de ces dernières. Ils ont ainsi pu accéder à leurs services Cloud, mais aussi à leurs serveurs on-premise.

captura- kubernetes
Schéma des tactiques utilisées par les cyberattaquants pour s’introduire au sein de réseaux via Kubernetes | Source : CSA NSCC Joint Report.

Risques liés aux conteneurs pour les applications

Kubernetes est une plateforme open source permettant de gérer des charges de travail et des services à l’aide de conteneurs dans le Cloud. En informatique, les conteneurs sont une forme de virtualisation utilisée pour exécuter toute charge de travail, des microservices aux applications à grande échelle. Tous les exécutables nécessaires sont situés à l’intérieur des conteneurs : code binaire, bibliothèques et fichiers de configuration.

Il s’agit d’un outil très utile pour les développeurs et les professionnels IT car ils peuvent tester des applications dans les conteneurs sans avoir à apporter de changements majeurs à l’environnement, tout comme les gérer et les organiser en clusters, les déplacer entre les plateformes et les faire évoluer.  

Mais, comme toute autre plateforme, elle peut être attaquée par des pirates informatiques. Une étude publiée en juin dernier a révélé que 89 % des DSI sont préoccupés par le fait que les microservices, les conteneurs et Kubernetes comportent des « angles morts ». En effet, les conteneurs peuvent échapper aux analyses traditionnelles car ils sont séparés de l’environnement général où sont situés le système d’exploitation et les autres applications non virtualisées. Le récent incident de « password spraying » prouve le bien-fondé de ces préoccupations.

Authentification multifacteur et sécurité réseau exhaustive

Le « password spraying » est une attaque par force brute consistant à tester le même mot de passe sur une multitude de comptes avant de répéter le processus avec un nouveau mot de passe. Les cybercriminels commencent souvent par cette technique pour accéder aux systèmes. Bien qu’elle soit relativement efficace, le compte ciblé doit généralement être associé à un mot de passe très faible ou un mot de passe par défaut non modifié. Cependant, cet incident prouve qu’elle est toujours utilisée, comme l’a démontré la cyberattaque qui a mis à mal Citrix en 2019.

Par conséquent, afin de prévenir les cyberattaques telles que celle de Kubernetes, les MSP doivent mettre en œuvre une politique adaptée en matière de mots de passe dans les entreprises, qui requiert l’utilisation de termes difficiles à déterminer et fréquemment mis à jour. Insistons par ailleurs sur le fait que, dans 81 % des incidents, les pirates informatiques ont mis à profit des mots de passe faibles.

Cependant, ces bonnes pratiques ne sont pas suffisantes. Dans le cas de Kubernetes, des analystes soulignent que le groupe APT-28 dispose des capacités suffisantes pour appliquer la méthode du « password spraying » avec des mots de passe forts. Quoi qu’il en soit, peu importe en réalité la puissance des mots de passe car ils peuvent également être utilisés pour une attaque de type « credential stuffing » s’ils ont été exfiltrés et postés sur le Dark Web.

Afin d’éviter ces risques liés aux mots de passe, WatchGuard AuthPoint offre diverses méthodes d’authentification multifacteur sécurisées aux utilisateurs : de son application mobile protégée par un système d’ADN unique aux tokens matériels qui génèrent des mots de passe à usage unique valables pendant 30 secondes. Ces mesures compliquent extrêmement la tâche des cybercriminels souhaitant mettre à profit les mots de passe pour infiltrer des réseaux. De plus, AuthPoint envoie une alerte via des notifications Push si un mot de passe a été découvert et compromis.

Par ailleurs, les appliances Firewall de pointe WatchGuard Firebox empêchent toute intrusion au sein des réseaux d’entreprise telles que celle réalisée par APT-28, grâce à leur sécurité hautes performances fournissant une visibilité totale sur le réseau. Elles permettent ainsi aux MSP de prévenir tout accès non autorisé aux entreprises depuis des plateformes externes telles que Kubernetes.