Kubernetes und Container im Visier: Die aktuelle Bedrohungslage im Überblick

Microsoft warnt vor Angriffswelle auf Cloud-Mandanten im Bildungssektor + Microsoft hat bekannt gegeben, dass der von ihnen als „Storm-1977“ identifizierte Angreifer im vergangenen Jahr gezielte Password-Spraying-Angriffe auf Cloud-Mandanten im Bildungsbereich durchgeführt hat.

Wie das Microsoft Threat Intelligence Team in einer aktuellen Analyse mitteilt, kam dabei das Tool „AzureChecker.exe“ zum Einsatz – ein Kommandozeilen-Programm, das von verschiedenen Bedrohungsakteuren genutzt wird. Die Software stellte demnach eine Verbindung zu einem externen Server („sac-auth.nodefunction[.]vip“) her, um eine AES-verschlüsselte Liste potenzieller Zielkonten für die Angriffe abzurufen.

AzureChecker akzeptiert zusätzlich eine lokale Datei („accounts.txt“), die Benutzernamen und Passwortkombinationen enthält. Mit diesen Informationen versuchte der Angreifer anschließend, sich bei den Ziel-Tenants anzumelden.

In einem dokumentierten Fall gelang es Storm-1977, ein Gastkonto zu kompromittieren und darüber eine neue Ressourcengruppe im betroffenen Abonnement zu erstellen. Innerhalb dieser Umgebung richtete der Angreifer über 200 Container ein – mit dem Ziel, illegitim Kryptowährungen zu schürfen.

Kubernetes-Umgebungen im Visier: Die wichtigsten Bedrohungen im Überblick

Kubernetes-Cluster und andere containerisierte Assets – darunter Knoten, Workloads, Registries und Images – sind zunehmend komplexen Bedrohungen ausgesetzt. Ein umfassender Schutz dieser Umgebungen erfordert mehr als nur die Absicherung der Container selbst: Auch der darin ausgeführte Code, Softwareabhängigkeiten, Bibliotheken, CI/CD-Pipelines sowie die gesamte Laufzeitumgebung müssen gegen Angriffe gehärtet werden.

Bedrohungen in Kubernetes-Umgebungen lassen sich grob in sechs Hauptkategorien einteilen:

• Kompromittierte Konten:
  Werden Kubernetes-Cluster über öffentliche Cloud-Dienste wie Azure Kubernetes Service (AKS) oder Google Kubernetes Engine (GKE) betrieben, können gestohlene Cloud-Anmeldedaten zur vollständigen Übernahme des Clusters führen. Angreifer erhalten dabei direkten Zugriff auf die Verwaltungsebene.

• Schwachstellen in Images:
  Veraltete oder falsch konfigurierte Container-Images bieten eine beliebte Angriffsfläche. Ungepatchte Sicherheitslücken können ausgenutzt werden, um Schadcode einzuschleusen oder Systeme zu kompromittieren.

• Fehlkonfigurationen der Umgebung:
  Offene Schnittstellen oder unzureichende Authentifizierungs- und Autorisierungskontrollen können Angreifern ermöglichen, über die Kubernetes-API bösartige Container bereitzustellen oder die Kontrolle über ganze Cluster zu übernehmen.

• Angriffe auf Anwendungsebene:
  Wie bei klassischen Webanwendungen sind auch containerisierte Dienste anfällig für Exploits wie SQL-Injection, Cross-Site-Scripting (XSS) oder Remote File Inclusion.

• Angriffe auf Knotenebene:
  Host-Rechner, die Container ausführen, können zum Einstiegspunkt für Angriffe werden – etwa durch ungepatchte Software, offene Verwaltungszugänge (z.B. via SSH) oder Schwachstellen in der Steuerungsebene. Besonders gefährlich: Ein sogenannter Pod-Escape, bei dem ein kompromittierter Container Zugriff auf den Knoten oder benachbarte Pods erhält.

• Unsicherer Netzwerkverkehr:
  Ohne geeignete Sicherheitsmechanismen ist die Kommunikation zwischen Containern, Pods und externen Systemen anfällig für Abhörversuche und Manipulation.

Angesichts dieser vielfältigen Bedrohungen empfiehlt es sich, Kubernetes-Umgebungen ganzheitlich abzusichern – von der Imagesicherheit über Netzwerküberwachung bis hin zur Härtung der Steuerungsebenen.

Um solchen Angriffen vorzubeugen, rät Microsoft Unternehmen, ihre Containerbereitstellung und -laufzeit abzusichern, verdächtige Kubernetes-API-Aktivitäten zu überwachen, die Nutzung vertrauenswürdiger Container-Registries durchzusetzen und darauf zu achten, dass eingesetzte Container-Images frei von Schwachstellen sind.

Abbildung 1: Übersicht über Angriffe auf Kubernetes-Umgebungen / Quelle/Link

Best Practices für sichere Containerbereitstellung und -ausführung

Unternehmen müssen Container-Workloads nicht nur bei der Entwicklung, sondern auch bei der Bereitstellung und Laufzeit umfassend absichern. Microsoft empfiehlt, Container unveränderlich zu halten: Statt laufende Container zu patchen, sollten bei Änderungen neue Images erstellt und neu ausgerollt werden, um Schwachstellen zu vermeiden.

Zulassungscontroller helfen dabei, die Bereitstellung unsicherer Container zu verhindern. Unternehmen sollten Richtlinien einführen, die den Einsatz von Images aus vertrauenswürdigen Registries sicherstellen, Root-Rechte einschränken und Ressourcenverbrauch begrenzen. Schwachstellen-Scans während der Build- und Ship-Phasen sind entscheidend, um riskante Images frühzeitig auszusortieren.

Auch während der Laufzeit bleibt Sicherheit kritisch. Container müssen regelmäßig auf neue Schwachstellen geprüft werden, etwa mit Azure-Schwachstellenbewertungen und Microsoft Defender Vulnerability Management. Gleichzeitig sollten Knoten, Pods und Container auf bösartige Aktivitäten überwacht werden.

Defender for Containers bietet eine agentenlose API-gestützte Erkennung von Kubernetes-Umgebungen. Mit Tools wie Container Insights und Defender XDR lassen sich ungewöhnliche API-Aufrufe und Systemereignisse gezielt auswerten.

Um potenzielle Angriffspfade frühzeitig zu erkennen und zu schließen, rät Microsoft Unternehmen zudem, Microsoft Defender for Cloud einzusetzen. So lassen sich Bedrohungen sowohl auf API- als auch auf Workload-Ebene schnell identifizieren und entschärfen.

Redaktion AllAboutSecurity