Les clusters Kubeflow, cibles de choix pour le minage de cryptomonnaies ?
L’équipe Azure Security Center le constate dans la théorie, mais aussi dans la pratique.
Sur le volet théorique, la logique est simple. Ces clusters permettent d’exécuter des tâches d’apprentissage automatique. Ils disposent ainsi généralement de grandes capacités de calcul.
Sur le volet pratique, « des dizaines » d’entre eux auraient subi des attaques ces dernières semaines.
Plusieurs images Docker malveillantes* issues d’un dépôt GitHub public y ont été installées. Elles contenaient le cryptomineur XMrig, sous différentes configurations.
Parmi les services qui composent Kubeflow figure un tableau de bord, exécuté dans son propre conteneur.
La connexion à cet outil repose sur Istio Gateway. Par défaut, elle ne peut se faire depuis l’extérieur sans router le trafic via le serveur API Kubernetes.
Il peut être tentant de modifier le paramétrage de sorte à exposer Istio Gateway sur le réseau Internet. Mais cela comporte des risques d’accès indésirables par des tiers qui pourraient notamment :
Azure Security Center s’était déjà fait l’écho d’une campagne cyber visant des tableaux de bord vulnérables dans l’écosystème Kubernetes. Mais c’est la première fois qu’elle en découvre une visiblement spécifique à Kubeflow.
* Pour contrôler la présence de la principale de ces charges malveillantes, une commande : kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}” | grep -i ddsfdfsaadfs.
Pour vérifier l’état d’Istio Gateway : kubectl get service istio-ingressgateway -n istio-system.
Illustration principale © projet Kubeflow
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement de BNP Paribas utilise l'IA pour proposer des stratégies d’investissement individualisées, en…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…