Kubernetes diventa un vettore di attacco contro le reti aziendali
Alcune settimane fa, le autorità degli Stati Uniti e del Regno Unito hanno diffuso un comunicato congiunto per informare che il gruppo hacker russo APT-28 sta utilizzando Kubernetes come vettore di attacco per violare le reti di organizzazioni private e istituzioni pubbliche. Gli hacker hanno impiegato tecniche di password spraying per accedere alla piattaforma. Una volta dentro, si sono spostati tra i vari container dell’organizzazione e hanno inoltrato i privilegi sfruttando le vulnerabilità presenti, ottenendo l’accesso ai servizi cloud e ai server on-premise.
Diagramma delle tattiche utilizzate dai criminali informatici per violare le reti tramite Kubernetes. Fonte: CSA NSCC Joint Report.
I rischi dei container per le applicazioni
Kubernetes è una piattaforma open source per la gestione di servizi e carichi di lavoro basata su container nel cloud. In informatica, i container sono una forma di virtualizzazione usata per eseguire tanto i microservizi quanto le applicazioni su larga scala. Tutti i file eseguibili necessari, ossia il codice binario, le librerie e i file di configurazione, sono inclusi nei container.
I container sono uno strumento molto utile per gli sviluppatori e i professionisti IT, che possono così testare le applicazioni al loro interno senza la necessità di apportare ingenti modifiche all’ambiente, oltre a gestirle e organizzarle in cluster, trasferirle da una piattaforma all’altra e ridimensionarle.
Come tutte le piattaforme, però, anche i container possono essere sfruttati dagli hacker. Secondo uno studio pubblicato lo scorso giugno, l’89% dei CISO è preoccupato che i microservizi, i container e Kubernetes nascondano dei punti ciechi per la sicurezza informatica. I container, infatti, possono eludere le analisi tradizionali in quanto sono separati dall’ambiente generale, dove risiedono il sistema operativo e altre applicazioni non virtualizzate. Il recente caso di password spraying dimostra che questi timori hanno un fondamento oggettivo.
MFA e sicurezza di rete completa
Il password spraying è un attacco brute force che tenta di usare la stessa password per accedere a diversi account e quindi ripete il tentativo con una password diversa. I criminali informatici usano spesso questa tecnica come prima strategia per cercare di accedere ai sistemi. Si tratta di un metodo relativamente efficace, ma va detto che l’account preso di mira deve comunque avere una password molto vulnerabile o una password predefinita che non è mai stata modificata. Questo incidente conferma però che si tratta di una tecnica ancora in uso, come dimostrato anche dall’attacco contro Citrix nel 2019.
Per evitare attacchi come quelli che sfruttano Kubernetes, gli MSP devono implementare una policy appropriata per le password dell’organizzazione, che preveda l’utilizzo di termini difficili da identificare e l’aggiornamento frequente delle password stesse. WatchGuard è in prima linea su questo fronte e sottolinea come gli hacker, nell’81% dei casi, sfruttino la vulnerabilità delle password.
Queste best practice, purtroppo, non bastano. Rispetto a Kubernetes, alcuni analisti evidenziano che il gruppo APT-28 ha capacità sufficienti per sferrare un attacco di password spraying anche in presenza di password complesse. A prescindere dal grado di vulnerabilità, le password possono comunque essere utilizzate per il credential stuffing se sono state estratte e diffuse nel Dark Web.
Per evitare i rischi legati alle password, WatchGuard Authpoint offre agli utenti molti metodi sicuri di autenticazione a più fattori (MFA), dall’app con sistema di riconoscimento basato sul DNA del dispositivo mobile ai token hardware che generano password monouso (OTP) valide 30 secondi. Questi sistemi rendono estremamente difficile l’impiego delle password per la violazione delle reti. Inoltre, quando si verificano il furto e la compromissione di una password, AuthPoint invia un avviso tramite notifica push.
La sicurezza ad alte prestazioni delle appliance firewall avanzate WatchGuard Firebox assicura la piena visibilità della rete aziendale e previene quindi le intrusioni da parte di gruppi hacker come APT-28. Questo consente agli MSP di evitare gli accessi non autorizzati da piattaforme esterne come Kubernetes.