Microsoft prévient avoir découvert des noeuds sur Azure qui abusent de charges de travail erronément configurées, en vue d’extraire des crypto-monnaies aux dépens des clients Azure.
Il s’agit de quelques dizaines de clusters (grappes), sur lesquels des hackers peuvent générer de grandes quantités d’espèces virtuelles, spécifiquement de la crypto-monnaie monero. Pour ce faire, les escrocs passent en revue les noeuds d’apprentissage machine en raison de leur grande puissance de calcul.
Dans un communiqué posté sur un blog, Yossi Weizman, ingénieur en security research software au sein de l’Azure Security Center, explique comment cela s’est déjà passé. Les pirates/escrocs ciblèrent Kubeflow, un kit d’outillage d’apprentissage machine pour Kubernetes. Du coup, Azure a vu se manifester l’image d’un gisement public, qui contenait à y regarder de plus près ce qu’on appelle un extracteur (miner) XMRIG.
Très brièvement, un tableau de bord de gestion de Kubeflow n’est normalement accessible que via une ‘istio ingress gateway’ uniquement accessible en interne. Les utilisateurs doivent au moyen de ‘port forwarding’ accéder au tableau de bord, par lequel le trafic est expédié via le serveur d’API Kubernetes.
Weizman signale que certains utilisateurs adaptent l’Istio Service, ce qui fait que ce dernier est accessible via internet. “Nous estimons que les utilisateurs le font par facilité: sans cette action, il faut passer par le serveur d’API Kubernetes, et il n’y pas d’accès direct au tableau de bord. En exposant le service à internet, les utilisateurs peuvent aboutir directement au tableau de bord.”
Mais ce paramétrage génère aussi un accès non sécurisé au tableau de bord de Kubeflow, ce qui permet d’exécuter d’autres actions, dont le déploiement de nouveaux containers dans le cluster, intégrant ou non un extracteur de crypto-monnaies.
Dans son communiqué, Weizman explique aussi de quelle manière cela se passe exactement. Et d’ajouter comment un utilisateur Azure peut vérifier si son cluster pâtit du même problème. Ce n’est du reste pas la première fois qu’Azure découvre des tentatives en vue de faire tourner des ‘cryptominers’ sur l’infrastructure ‘cloud’. Par contre, le fait que cela se fasse spécifiquement avec Kubeflow, c’est bien une première.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici