Microsoft hat einen neuen Bericht veröffentlicht, der eine neue Reihe von Angriffen hervorhebt, die auf eine Toolbox namens Kubeflow abzielen, die zur Durchführung maschineller Lernvorgänge auf Kubernetes-Clustern verwendet wird. Die Angriffe begannen im April dieses Jahres und wurden mit dem Ziel fortgesetzt, einen Kryptowährungs-Miner auf Kubernetes-Pools zu installieren, die mit dem Internet verbunden sind und Kubeflow ausführen. In einem Blogbeitrag lieferte Yossi Weizman, Security Research Software Engineer beim Azure Security Center, weitere Details zu Kubeflow und warum Knoten, die für maschinelle Lernaufgaben verwendet werden, ein so attraktives Ziel für Cyberkriminelle sind, und sagte: „Kubeflow ist ein Open-Source-Projekt, das gestartet wurde.“ als Projekt zum Ausführen des TensorFlow-Jobs auf Kubernetes. Kubeflow hat sich zu einem beliebten Framework für die Ausführung maschineller Lernaufgaben auf Kubernetes entwickelt. Die für ML-Aufgaben verwendeten Knoten sind häufig relativ leistungsstark und umfassen in einigen Fällen GPUs. Diese Tatsache macht Kubernetes-Pools, die für ML-Aufgaben verwendet werden, zu einem perfekten Ziel für Verschlüsselungskampagnen, die das Ziel dieses Angriffs waren. "
Microsoft hat diese Angriffe verfolgt, seit sie im April erstmals online erschienen. Nach der ersten Angriffswelle verlagerte sich das Krypto-Mining-Syndikat jedoch von der Ausrichtung auf allgemeine Kubernetes-Pools hin zu einer gezielten Ausrichtung auf diejenigen, die Kubeflow zur Ausführung maschineller Lernvorgänge nutzen. Basierend auf den Ergebnissen seiner ersten Untersuchung geht der Softwareriese nun davon aus, dass falsch konfigurierte Kubeflow-Instanzen der wahrscheinlichste Einstiegspunkt für Angreifer sind. Dies ist wahrscheinlich darauf zurückzuführen, dass Kubeflow-Administratoren die Standardeinstellungen der Toolbox geändert haben, wodurch ihr Admin-Panel online verfügbar gemacht wurde. Standardmäßig ist das Kubeflow-Admin-Panel nur innerhalb des Kubernetes-Clusters und nicht über das Internet zugänglich. Laut Weizman untersucht ein Krypto-Mining-Syndikat diese Online-Panels aktiv. Sobald sie gefunden wurde, stellt die Gruppe ein neues Server-Image auf den Kubeflow-Clustern bereit, auf denen eine Monero-Kryptowährungs-Mining-Anwendung namens XMRig ausgeführt wird. Serveradministratoren können überprüfen, ob ihre Kubeflow-Instanzen gehackt wurden, indem sie diesen Befehl eingeben: kubectl get pods –all-namespaces -o jsonpath = ”{. ArticlesContainers .spec..image} "| grep -i ddsfdfsaadfs. Um nicht Opfer dieser Angriffe zu werden, sollten Serveradministratoren sicherstellen, dass das Kubeflow-Kontrollfeld nicht dem Internet ausgesetzt ist. Über ZDNet