- Clientes afiliados a la red computacional Azure de Microsoft hicieron una mala configuración de nodos y permitieron que hackers los usaran para minar Monero (XMR).
- Atacantes afectaron a 10 nodos de la máquina de aprendizaje Kubeflow que forma parte de la red Azure.
En un reporte del 10 de junio, Microsoft reveló detalles sobre el descubrimiento de una vulnerabilidad que fue aprovechada por atacantes en su red computacional Azure. El reporte fue hecho por Yossi Weizman, Ingeniero de software de investigación de seguridad para el Azure Security Center (ASC). La vulnerabilidad permitió que los atacantes usaran la red Azure, a través de los nodos de una máquina de aprendizaje llamada Kubeflow para minar Monero (XMR).
Kubeflow es un kit de herramientas de máquina de aprendizaje para la plataforma Kubernetes. Microsoft afirma que Kubeflow ha alcanzado popularidad y debido a esto y a su poder computacional, se ha convertido en un blanco de estos ataques (traducido libremente):
Kubeflow ha crecido y se ha convertido en un marco popular para ejecutar tareas de aprendizaje de máquinas en los kubernetes. Los nodos que se utilizan para las tareas de ML suelen ser relativamente potentes, y en algunos casos incluyen las GPU. Este hecho hace que los clusters de Kubernetes que se utilizan para tareas ML sean un objetivo perfecto para las campañas de minería de criptomonedas, que era el objetivo de este ataque.
Mala configuración de nodos permitió ataque para minar Monero (XMR)
El Azure Security Center logró determinar que el vector de acceso del ataque fue el framework de Kubeflow. El ASC descubrió una imagen sospechosa en un depósito de datos dentro de grupos de la máquina de aprendizaje. Esta imagen corría el minero XMRIG, como se puede ver a continuación.
De acuerdo con el ASC, el framework de la máquina de aprendizaje Kubeflow está constituido por varios servicios que incluyen: marco de trabajo para modelos de entrenamiento, los servidores de Katib y Jupyter, entre otros. Los usuarios de la máquina virtual acceden a estos servicios a través de un tablero interno desde el nodo de Kubeflow. La configuración del tablero puede ser cambiada para conveniencia del usuario, como ocurrió en este caso según el Azure Security Center. Sin embargo, esta configuración permitió que los nodos se expusiera al internet y los dejaron susceptibles a los ataques (traducido libremente):
los usuarios deben utilizar el «port-forward» para acceder al tablero de mandos (que tuneliza el tráfico a través del servidor de la API de Kubernetes). (…) sin esta acción, el acceso al tablero de mandos requiere un túnel a través del servidor de la API de Kubernetes y no es directo. Al exponer el Servicio a Internet, los usuarios pueden acceder al tablero directamente. Sin embargo, esta operación permite un acceso inseguro al tablero de Kubeflow, lo que permite a cualquiera realizar operaciones en Kubeflow, incluido el despliegue de nuevos contenedores en el clúster.
De esta manera los atacantes puede acceder al tablero de Kubeflow y puede desplegar un contenedor malicioso de puerta trasera. Mediante este método los atacantes pueden subir una imagen maliciosa como la mostrada arriba al servidor del notebook Jupyter. El Azure Security Center hizo una serie de recomendaciones para prevenir estos ataques y los invitó a revisar los aspectos de seguridad al usar Kubeflow.
Como ha informado CNF, Monero es una de las criptomonedas predilectas para hacer estos ataques. Debido a sus características la identidad de los atacantes se mantiene protegida. En mayo una serie de reportes de instituciones científicas reconocidas como el Servicio Nacional de Supercomputación del Reino Unido, reveló que atacantes usaron el poder computacional de sus supercomputadoras para minar Monero. Entre los países afectados estuvieron el Reino Unido, Alemania, Suiza, España.
