Microsoft a publié un nouveau rapport mettant en évidence une nouvelle série d'attaques ciblant une boîte à outils appelée Kubeflow utilisée pour effectuer des opérations d'apprentissage automatique sur les clusters Kubernetes. Les attaques ont commencé en avril de cette année et se sont poursuivies dans le but d'installer un mineur de crypto-monnaie sur des clusters Kubernetes exposés à Internet et exécutant Kubeflow. Dans un article de blog, Yossi Weizman, ingénieur logiciel de recherche en sécurité chez Azure Security Center, a fourni plus de détails sur Kubeflow et expliqué pourquoi les nœuds utilisés pour les tâches d'apprentissage automatique sont une cible si attrayante pour les cybercriminels, déclarant : « Kubeflow est un projet open source, qui a démarré en tant que projet pour exécuter le travail TensorFlow sur Kubernetes. Kubeflow s'est développé et est devenu un framework populaire pour effectuer des tâches d'apprentissage automatique dans Kubernetes. Les nœuds utilisés pour les tâches ML sont souvent relativement puissants et incluent dans certains cas des GPU. Ce fait fait des clusters Kubernetes utilisés pour les tâches de ML une cible idéale pour les campagnes de chiffrement, qui étaient la cible de cette attaque. "
Microsoft a suivi ces attaques depuis leur première apparition en ligne en avril. Cependant, après la première vague d’attaques, le syndicat de crypto-minage derrière eux est passé du ciblage des clusters Kubernetes à usage général à un ciblage spécifique de ceux qui utilisent Kubeflow pour exécuter des opérations d’apprentissage automatique. Sur la base des résultats de son enquête initiale, le géant du logiciel estime désormais que les instances Kubeflow mal configurées constituent le point d'entrée le plus probable pour les attaquants. Cela est probablement dû au fait que les administrateurs de Kubeflow ont modifié les paramètres par défaut de la boîte à outils, ce qui a exposé leur panneau d'administration en ligne. Par défaut, le panneau d'administration Kubeflow n'est accessible qu'à partir du cluster Kubernetes et non via Internet. Selon Weizman, un syndicat minier de crypto enquête activement sur ces panels en ligne. Une fois trouvé, le pool déploie une nouvelle image de serveur sur les clusters Kubeflow exécutant une application d'extraction de crypto-monnaie Monero appelée XMRig. Les administrateurs de serveur peuvent vérifier si leurs instances Kubeflow ont été piratées en entrant cette commande : kubectl get pods –all-namespaces -o jsonpath = ”{. ArticlesContainers .spec..image} "| grep -i ddsfdfsaadfs. Pour éviter d'être victimes de ces attaques, les administrateurs de serveur doivent s'assurer que le panneau de configuration Kubeflow n'est pas exposé à Internet. Via ZDNet