Kubernetes, il popolare container orchestrator open-source, come tutte le piattaforme che soffrono di “alta esposizione” (eufemismo voluto) è soggetto ad attacchi informatici variegati che possono diventare delle belle gatte da pelare per i sysadmin addetti alla gestione e manutenzione delle installazioni di questa piattaforma.

Fare un elenco dei vari tipi di attacco è certamente impresa ardua, ma in questo interessante articolo di Manoj Ahuje ecco sintetizzate le principali categorie:

• Misconfigured Docker: quando il demone docker della macchina che eroga Kubernetes espone le porte direttamente vero internet o soffre di malware quali Cetus e Graboid allora ecco che il rischio di DDOS può diventare concreto.
• Malicious Docker Images: cosa succede quando si esegue un’immagine che contiene software malevolo, ma che noi riteniamo essere sicura? È così difficile installare immagini “non certificate”? Ricordate l’incident sul Docker Hub di cui abbiamo parlato tempo fa?
• Unintentional Cluster Misconfiguration: cosa succede quando un servizio offerto dal cloud (vedi AWS) permette facilmente di scalare i privilegi per via di configurazioni di default disattente?
• Kubernetes vs. Kubernetes: l’esecuzione di codice remoto all’interno di un container ad esempio può essere ottenuta sfruttando delle API di kubelet non documentate e… Cosa succede se un nodo fake riesce a fare la join del cluster? Leggetelo qui.

Insomma, come potete vedere questa breve sintesi dimostra come i punti di attacco siano molteplici e non sempre facili da individuare.

La soluzione? Monitoraggio costante, check delle CVE più diffuse e… Un buon piano di aggiornamento!

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.