一、概要

近日，華為云關(guān)注到國(guó)外某安全團(tuán)隊(duì)披露了一起黑客利用Kubeflow配置不當(dāng)導(dǎo)致的未授權(quán)訪(fǎng)問(wèn)漏洞，漏洞可被利用惡意挖礦甚至遠(yuǎn)程控制服務(wù)器。

Kubeflow是Kubernetes集群中的機(jī)器學(xué)習(xí)工具包，Kubeflow功能可通過(guò)連接到儀表板的API服務(wù)器使用，用戶(hù)可利用該儀表板來(lái)管理其任務(wù)。通常儀表板只能通過(guò)位于群集邊緣的Istio入口網(wǎng)關(guān)使用。但當(dāng)用戶(hù)改Istio服務(wù)默認(rèn)設(shè)置為L(zhǎng)oad-Balancer，會(huì)導(dǎo)致將儀表板直接暴露到了互聯(lián)網(wǎng)上，任何人都可以直接訪(fǎng)問(wèn)，并對(duì)Kubeflow功能進(jìn)行更改。

華為云提醒使用Kubeflow用戶(hù)及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/?spm=a2c4g.11174386.n2.3.5c871051EQNQto

https://mp.weixin.qq.com/s/UGwxgA2ZLH4YSSuXOa_1Mw

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響范圍：

使用Kubeflow功能并將Istio服務(wù)修改為L(zhǎng)oad-Balancer的用戶(hù)。

四、漏洞處置

如何檢查您的集群是否受到漏洞影響？

1、確認(rèn)在集群中未部署惡意容器，可按以下命令可以檢查：

kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs

2、確保其儀表板未暴露于Internet：通過(guò)以下命令檢查Istio入口服務(wù)的類(lèi)型，可以確保它不是具有公共IP的負(fù)載平衡器：

kubectl get service istio-ingressgateway -n istio-system

注：華為云容器安全CGS已具備對(duì)該異常行為鏡像檢測(cè)能力。修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。