Microsoft ha publicado un nuevo informe que destaca una nueva serie de ataques dirigidos a una caja de herramientas llamada Kubeflow que se utiliza para realizar operaciones de aprendizaje automático en grupos de Kubernetes.
Los ataques comenzaron en abril de este año y continuaron con el objetivo de instalar un minero de criptomonedas en grupos de Kubernetes que están expuestos a Internet y ejecutan Kubeflow.
En una publicación de blog, Yossi Weizman, ingeniero de software de investigación de seguridad en Azure Security Center, proporcionó más detalles sobre Kubeflow y por qué los nodos utilizados para las tareas de aprendizaje automático son un objetivo tan atractivo para los ciberdelincuentes, en diciendo:
“Kubeflow es un proyecto de código abierto, que comenzó como un proyecto para ejecutar el trabajo de TensorFlow en Kubernetes. Kubeflow ha crecido y se ha convertido en un marco popular para realizar tareas de aprendizaje automático en Kubernetes. Los nodos utilizados para las tareas de ML a menudo son relativamente potentes y, en algunos casos, incluyen GPU. Este hecho hace que los grupos de Kubernetes que se utilizan para tareas de ML sean un objetivo perfecto para las campañas de cifrado, que era el objetivo de este ataque. "
Microsoft ha seguido estos ataques desde su primera aparición en línea en abril. Sin embargo, después de la primera ola de ataque, el sindicato de criptominería detrás de ellos pasó de apuntar a grupos de Kubernetes de propósito general para enfocarse específicamente en aquellos que usan Kubeflow para ejecutar operaciones de aprendizaje automático.
Según los resultados de su investigación inicial, el gigante del software ahora cree que las instancias de Kubeflow mal configuradas son el punto de entrada más probable para los atacantes. Este es probablemente el resultado de los administradores de Kubeflow que cambiaron la configuración predeterminada de la caja de herramientas, que expuso su panel de administración en línea. De forma predeterminada, solo se puede acceder al panel de administración de Kubeflow desde el interior del clúster de Kubernetes y no a través de Internet.
Según Weizman, un sindicato de criptominería está investigando activamente estos paneles en línea. Una vez encontrado, el grupo implementa una nueva imagen del servidor en los clústeres de Kubeflow que ejecuta una aplicación de minería de criptomonedas Monero llamada XMRig.
Los administradores del servidor pueden verificar si sus instancias de Kubeflow han sido pirateadas ingresando este comando: kubectl get pods –all-namespaces -o jsonpath = ”{. ArtículosContenedores .espec..image} "| grep -i ddsfdfsaadfs. Para evitar ser víctimas de estos ataques, los administradores del servidor deben asegurarse de que el panel de control de Kubeflow no esté expuesto a Internet.
A través de ZDNet