一、概要

近日，華為云關注到國外某安全團隊披露了一起黑客利用Kubeflow配置不當導致的未授權訪問漏洞，漏洞可被利用惡意挖礦甚至遠程控制服務器。

Kubeflow是Kubernetes集群中的機器學習工具包，Kubeflow功能可通過連接到儀表板的API服務器使用，用戶可利用該儀表板來管理其任務。通常儀表板只能通過位于群集邊緣的Istio入口網(wǎng)關使用。但當用戶改Istio服務默認設置為Load-Balancer，會導致將儀表板直接暴露到了互聯(lián)網(wǎng)上，任何人都可以直接訪問，并對Kubeflow功能進行更改。

華為云提醒使用Kubeflow用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/?spm=a2c4g.11174386.n2.3.5c871051EQNQto

https://mp.weixin.qq.com/s/UGwxgA2ZLH4YSSuXOa_1Mw

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響范圍：

使用Kubeflow功能并將Istio服務修改為Load-Balancer的用戶。

四、漏洞處置

如何檢查您的集群是否受到漏洞影響？

1、確認在集群中未部署惡意容器，可按以下命令可以檢查：

kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs

2、確保其儀表板未暴露于Internet：通過以下命令檢查Istio入口服務的類型，可以確保它不是具有公共IP的負載平衡器：

kubectl get service istio-ingressgateway -n istio-system

注：華為云容器安全CGS已具備對該異常行為鏡像檢測能力。修復漏洞前請將資料備份，并進行充分測試。