:quality(80)/p7i.vogel.de/wcms/43/4e/434e09f9e9b71392a3e88d2439912cce/0113244602.jpeg "Betreiber kritischer Infrastrukturen müssen einen proaktiven Ansatz verfolgen, um ihre OT-Umgebungen gemäß den Anforderungen von NIS 2 zu schützen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e0/d8/e0d828bd342ced5f71550d4fe142b456/0113244575.jpeg "Die effizientere Technik der 5G-Netze kann die Klimabilanz des Mobilfunknetzes deutlich verbessern. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a8/bd/a8bd01c646fe95c96f8d9e96d01d3924/0113933557.jpeg "Die Ergebnisse des Projekts sollen anhand von Demonstratoren aus dem Bereich der Gebäudetechnik veranschaulicht werden. Blick in die mit intelligenten, vernetzten Technologien ausgestattete Wohnumgebung im Bremen Ambient Assisted Living Lab (BAALL) des DFKI-Forschungsbereichs Cyber-Physical Systems. (Bild: Annemarie Popp - DFKI)")
:quality(80)/p7i.vogel.de/wcms/c0/11/c011915ad5c1dae221ec054dbad531d4/0113030444.jpeg "VW und andere Unternehmen setzen beim Internet of Things auf AWS. Mit AWS IoT bündelt der Konzern eine Vielzahl verschiedener Komponenten für unterschiedliche Anwendungsfälle. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ac/3b/ac3bb9dcbf8c47db21082e03f753a152/0114327791.jpeg "Aus dem ESD-Harz Formula1µ können beispielsweise Chipsockel hergestellt werden. (Bild: BMF)")
:quality(80)/p7i.vogel.de/wcms/d0/dc/d0dc9d050d5fe2ee725aee4df021674b/0114310369.jpeg "Mit dem Elastomer EPU 46 werden besonders für Griffe und dünne Teile im Gitterdesign verschiedene taktile Funktionen möglich. (Bild: Carbon)")
:quality(80)/p7i.vogel.de/wcms/a8/50/a850ce627818ebe324f4bbb74b3c60e0/0114294340.jpeg "Die Zugfestigkeiten erreichen sowohl auf der XY-Achse als auch auf der XZ-Achse beim 3D-Pellet-Druck höhere Werte als beim Filament-3D-Druck. (Bild: AIM3D)")
:quality(80)/p7i.vogel.de/wcms/64/89/6489ed2aeda29a67335913ad39361a67/0114257198.jpeg "(Bild: Fraunhofer ILT)")
:quality(80)/p7i.vogel.de/wcms/dd/a1/dda1e277aeaefd2c31ecf4ab9d840e21/0114168418.jpeg "Spielend den Haushalt machen: Forscher haben untersucht was passiert, wenn Alexa für das Staubsaugen plötzlich Punkte verteilt. (©lassedesignen – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/ac/25ac8f6aa4df8d7fef42af4368aca1cd/0114048001.jpeg "Bisher war die Verschleißerkennung bei Zerspanungswerkzeugen nur mit zeitlichem Aufwand möglich. Am Fraunhofer IPT hat man nun eine neue Methode dafür entwickelt, die in der Fräsmaschine funktionert – und zwar per Kamera, Mikroskop und künstlicher Intelligenz. (Bild: Fraunhofer IPT)")
:quality(80)/p7i.vogel.de/wcms/b9/71/b9715329444d2b174db6fd85f98e7b30/0114310452.jpeg "Nachhaltige UX bedeutet den Ansatz der mensch-zentrierten Gestaltung konsequent zu Ende zu denken. (Bild: Vogel Communications Group)")
:quality(80)/p7i.vogel.de/wcms/21/56/215649e731d48514ba652e7f8adc665f/0114378977.jpeg "Auf der 10. Meta Connect zeigte Mark Zuckerberg, CEO und Gründer von Meta, wie KI und Metaverse-Technologien den Alltag verändern könnten. (Bild: wacomka - stock.adobe.com)")
Container-Sicherheit Wie Sie Ihre RAT in der Cloud schützen
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/108300/108310/65.jpg "schneide.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/8f/638f6ed06f4c8/parasoft-logo-2018.png "parasoft-logo-2018 (Parasoft)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d1371cff23/logo.jpg "Logo.jpg (NetModule)"){kind=logo}
Angreifer zielen auf Remote-Access-Tools um sich Zugang zu Container-Umgebungen zu verschaffen. Mit diesen Best Practices lässt sich das Risiko reduzieren.
Wer beim Titel dieses Beitrags an Nagetier-Schutz denkt, liegt leicht daneben. Ein Remote Access Tool, kurz RAT, ist eine Software, die für den Fernzugriff oder die Fernsteuerung eines Computers verwendet wird. Solche Tools werden standardmäßig von Systemadministratoren für den Zugriff auf von ihnen verwaltete Clients verwendet.
Werden – eigentlich legitime – RAT für bösartige Zwecke verwendet, werden sie analog als Remote Access Trojans bezeichnet. Cyberkriminelle nutzen die an sich legitimen Tools seit vielen Jahren als Trojaner, um so die volle Kontrolle über die Computer zu erlangen. Alles was sie dafür tun müssen, ist, deren Nutzer dazu zu verleiten, eines dieser Tools zu installieren und den Zugriff zu gewähren.
:quality(80)/p7i.vogel.de/wcms/62/2f/622f27635d7e33bf5c79df5a191dbc24/0105206758.jpeg "Abbildung 1: Die Angreifer führen auf dem Cluster Masscan zusammen mit anderen auf dem Host laufenden Anwendungen aus.")
:quality(80)/p7i.vogel.de/wcms/02/71/0271c59b060986b85b33e1db0f85f32a/0105206756.jpeg "Abbildung 2: Angreifer können eine Shell-Verbindung zu einem laufenden Pod öffnen, Container starten und Bereitstellungen ändern.")
:quality(80)/p7i.vogel.de/wcms/bc/d9/bcd9d62b23da3ed3e2463eb77af1ff47/0105206757.jpeg "Abbildung 3: Das Kubernetes-Dashboard enthält auch geheime Daten, auf die leicht zugegriffen werden kann.")
:quality(80)/p7i.vogel.de/wcms/83/5b/835b9c474c6492fcd5ccbbff3afeb401/0105206759.jpeg "Abbildung 4: Daneben gibt es viele andere Möglichkeiten für einen Angreifer, zusätzlichen Schaden anzurichten. Dazu zählt beispielsweise das Ändern von Einstellungen und die Beschaffung von „Volumes“.")
Da Cyberkriminelle auf allen Ebenen aktiv sind, überrascht es nicht, dass die Angreifenden seit einiger Zeit auch auf für die Cloud entwickelte Umgebungen und deren Benutzeroberflächen abzielen, um beispielsweise Zugang zu Docker- und Kubernetes-Instanzen zu erhalten. Wie Kriminelle RAT hierfür nutzen, hat Team Nautilus analysiert. Die auf den cloud-eigenen Technologie-Stack spezialisierte Forschungseinheit von Aqua Security hat hierzu drei der bekanntesten Tools auf Schwachstellen untersucht: Weave Scope, Kubernetes Dashboard und Octant.
Kubernetes-UI-Tools im Visier
Es gibt zahlreiche Kubernetes-UI-Tools wie beispielsweise cAdvisor und Kubernetes Operational View. Diese Tools wurden entwickelt, um Einblicke in das Cluster zu gewähren. Einige wenige von ihnen ermöglichen darüber hinaus auch Zugriff und Kontrolle des Clusters und können in den Händen von Cyberkriminellen großen Schaden anrichten. Es ist auch bekannt, dass sie bereits manipuliert wurden, um Dritten unberechtigten Zugang zu verschaffen.
:quality(80)/images.vogel.de/vogelonline/bdb/1936700/1936752/original.jpg "Wie volatil IoT-Schnittstellen sein können, zeigt der prominente Fall eines Casino-Hacks – über ein Aquarium. (gemeinfrei)")
IoT-Security
Angriff durchs Aquarium: Embedded Software sicher machen
1. Untersuchung von Weave Scope
Weave Scope ist ein Visualisierungs- und Überwachungstool, das den Echtzeitzugriff auf Anwendungen und Infrastrukturen ermöglicht, so dass IT-Abteilungen Protokolle einsehen und Probleme diagnostizieren können. Es kann auch zur Verwaltung von Docker-Containern verwendet werden, beispielsweise für das Starten, Anhalten, Stoppen und Neustarten von Containern sowie das Starten einer Befehlszeile.
Um aktive Dashboards von Weave Scope zu finden, fragte Team Nautilus Shodan ab, eine Suchmaschine für mit dem Internet verbundene Geräte. Die Suche ergab 58 Ergebnisse. Nach dem Entfernen irrelevanter Ergebnisse und passwortgeschützter Dashboards blieben zehn Dashboards übrig, die einem Angreifer einen vollständigen Einblick in eine Kubernetes-Umgebung ermöglichen würden. Der Einblick zeigt darüber hinaus den ein- und ausgehenden Datenverkehr der Umgebung an, so dass bösartige Kommunikation leicht erkannt werden kann. Das ist beispielsweise bei der Kommunikation der Tsunami-Malware mit einem Server über das IRC-Protokoll der Fall. Weave Scope bietet zudem Einblick in den Prozess hinter dieser Kommunikation – dies entspricht dem Modus Operandi von TeamTNT.
2. Untersuchung von Kubernetes Dashboard
Kubernetes Dashboard, bietet eine web-basierte Benutzeroberfläche, die speziell für Kubernetes entwickelt wurde und die alle im Kubernetes-Cluster ausgeführten Workloads anzeigen kann. Es enthält auch Funktionen zur Steuerung und Änderung von Workloads und zur Anzeige von Pod-Aktivitätsprotokollen.
Um kompromittierte Kubernetes Dashboards zu finden, suchte Team Nautilus auch hier Shodan ab. Nach dem Bereinigen der Ergebnisse blieben 27 Dashboards übrig, die keine Benutzerauthentifizierung erforderten, wodurch die Umgebung potenziellen Angriffen ausgesetzt ist. Wie in Abbildung 2 zu sehen ist, ermöglicht das ungeschützte Dashboard einem Angreifer vollen Einblick in die Kubernetes-Umgebung eines Unternehmens. Kubernetes-Dashboards enthalten darüber hinaus auch geheime Daten, auf die leicht zugegriffen werden kann. (Abbildung 3). Angreifer können außerdem Schaden anrichten, indem sie neue Volumes erstellen oder bestehende ändern (Abbildung 4).
:quality(80)/images.vogel.de/vogelonline/bdb/1941400/1941484/original.jpg "Vor dem Hintergrund des Ukraine-Kriegs teilt Securityexperte Markus Robin im Interview seine Einschätzung zur aktuellen Bedrohungslage der deutschen KRITIS-Landschaft. (gemeinfrei/Foto Wilke )")
Interview
„Es geht nicht darum, dass die russischen Hacker so viel besser wären“
3. Untersuchung von Octant-Dashboard
Als drittes und letztes Tool untersuchten die Forscher von Team Nautilus verwundbare Octant-Dashboards. Octant ist eine Open-Source-Webschnittstelle für die Inspektion eines Kubernetes-Clusters und seiner Anwendungen. Sie ermöglicht neben dem Einblick in Cluster auch Debugging und Streaming von Container-Protokollen sowie die Interaktion über eine Befehlszeilenschnittstelle.
Über Shodan fanden die Forscher neun potenziell gefährdete Ergebnisse. Nachdem alle irrelevanten Treffer und passwortgeschützte Dashboards entfernt worden waren, blieben vier übrig. Diese erforderten keine Benutzerauthentifizierung und machten die Umgebung für Angriffe anfällig. In diesem Fall handelte es sich jedoch ausschließlich um Honeypots, die von IT-Sicherheitsforschenden als virtuelle Falle eingerichtet wurden, um Angreifer anzulocken. Mit einem ungeschützten Octant-Dashbard könnten Angreifer etwa eine Shell-Verbindung zu einem laufenden Pod öffnen, Container starten und Bereitstellungen ändern.
:quality(80)/images.vogel.de/vogelonline/bdb/1938700/1938769/original.jpg "Unternehmen die Roboter und OT-Netzwerke nutzen, verlassen sich in hohem Maße auf den USB-Anschluss. (gemeinfrei)")
Maschinen- und Anlagensicherheit
So lassen sich USB-Laufwerke in industriellen Umgebungen sicher nutzen
Risikominderung und Best-Practices
Da Cloud Native Infrastructures immer häufiger zum Einsatz kommen, zielen Angreifer immer öfter auch auf diese Stacks. Instanzen, die aufgrund menschlicher Fehler oder mangelnder Kenntnisse der Administratoren nach erstmals korrekter Einstellung manuell falsch konfiguriert wurden, erleichtern ihnen den Zugang. Die korrekte Konfiguration von Cloud-Diensten kann die potenzielle Angriffsfläche erheblich reduzieren und Angriffe auf falsch konfigurierte Kubernetes-Cluster verhindern. Um eine Organisation vor solchen Bedrohungen zu schützen, ist es wichtig, diese bewährten Verfahren für die Kubernetes-Sicherheit zu befolgen:
- 1. In erster Linie sollten die IT-Verantwortlichen Verwaltungs-Tools nicht als öffentlichen Dienst betreiben. Sie sollten diese stattdessen so einrichten, dass sie vom Localhost aus bedient werden. Zudem sollte man Tools wie Scope nur im Lese-Modus ausführen und keine Administratorrechte gewähren.
- 2. Auch sollte man eine Erlaubnisliste mit Images erstellen, die getestet, überprüft und regelkonform sind – frei von Schad-Software und Sicherheitslücken.
- 3. Wenn eine IT-Abteilung derzeit keine Kubernetes-UI-Tools verwendet, ist es am besten, die Aktivierung dieser Werkzeuge während der Laufzeit zu begrenzen.
RAT für Cloud Native Infrastructures aufgrund von Best Practices verwalten
Die Dashboards der Kubernetes-Benutzeroberfläche sind nützlich, um Entwicklern einen Überblick über ihre Cluster zu verschaffen. Ein falsch konfiguriertes RAT kann eine Organisation jedoch schwerwiegenden Attacken aussetzen und Angreifern die volle Kontrolle über eine Container-Umgebung geben. Die Vielfalt der Techniken, die Bedrohungsakteure einsetzen, unterstreicht, wie beliebt dieser Angriffsvektor geworden ist. Abgesehen von einigen Honeypot-Dashboards, die von IT-Sicherheitsforschern als virtuelle Falle eingerichtet wurden, um Angreifer anzulocken, wiesen einige der von Team Nautilus aufgedeckten Benutzerschnittstellen Anzeichen von realen Umgebungen auf, von denen einige durch Angreifer bereits aktiv ausgenutzt wurden. Unternehmen sollten sich der Gefahr kompromittierter Remote-Access-Tools bewusst sein und grundlegende Best Practices für die Verwaltung dieser Benutzerschnittstellen beachten.
* Arne Jacobsen ist Director of Sales EMEA bei Aqua Security.
(ID:48411269)
:quality(80)/p7i.vogel.de/wcms/79/87/7987428de2974090db11122fa26e2693/0104722553.jpeg "IoT-Plattformen haben viel Potenzial, aber bringen auch immer ein Sicherheitsrisiko mit sich. Um sich abzusichern, kann es helfen, Best-Practice-Ansätze zu betrachten. (Bild: gemeinfrei // Pexels)")
:quality(80)/p7i.vogel.de/wcms/6b/2b/6b2bdc1366bc4b8ce304dbbd6dbc9785/0108165883.jpeg "Cloud-native-Technologie ermöglicht Organisationen, skalierbare Applikationen zu bauen und in modernen, dynamischen Umgebungen wie Public, Private und Hybrid Cloud zu betreiben. (Bild: gemeinfrei)")