Verkeerde configuratie stelt Azure bloot aan cryptomining

Pieterjan Van Leemputten

Microsoft waarschuwt dat het nodes op Azure heeft ontdekt die verkeerd geconfigureerde workloads misbruiken om cryptomunten te genereren op kosten van Azure-klanten.

Het gaat om enkele tientallen clusters waarop hackers grote hoeveelheden virtuele munten konden genereren, specifiek van de virtuele munt monero. Daarbij keken de oplichters specifiek naar nodes voor machine learning omwille van hun grote rekenkracht.

In een blogpost legt Yossi Weizman, security research softwareingenieur bij het Azure Security Center uit hoe dat gebeurde. De hackers/oplichters mikten daarbij op Kubeflow, een machine learning toolkit voor Kubernetes. Tegelijk zag Azure een image uit een publieke repository opduiken die bij nadere controle een XMRIG miner bevatte.

Zeer kort samengevat is een dashboard om Kubeflow te beheren normaliter enkel toegankelijk via een Istio ingress gateway die enkel intern toegankelijk is. Gebruikers moeten met port forwarding toegang krijgen tot het dashboard waarbij het verkeer via de Kubernetes API server wordt gestuurd.

Weizman zegt dat sommige gebruikers de Istio Service aanpassen waardoor de service toegankelijk is via het internet. “We gaan er van uit dat gebruikers dit doen uit gebruiksgemak: zonder deze actie moet je door de kubernetes API server gaan en is er geen directe toegang tot het dashboard. Door de service aan het internet bloot te stellen, kunnen gebruikers rechtstreeks aan het dashboard.”

Maar zo’n instelling maakt ook onveilige toegang tot het dashboard van Kubeflow mogelijk, waardoor anderen acties kunnen uitvoeren, waaronder het uitrollen van nieuwe containers in de cluster, al dan niet met een cryptominer in vewerkt.

In zijn blogpost legt Weizman uit op welke manieren dat precies gebeurt. Maar hij legt ook uit hoe een Azure-gebruiker kan nagaan of zijn of haar cluster mogelijk hetzelfde probleem heeft. Het is daarbij niet de eerste keer dat Azure pogingen ontdekt om cryptominers te laten draaien op de cloudinfrastructuur, al is het de eerste keer dat dit specifiek met Kubeflow gebeurt.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content