- Les clients affiliés au réseau informatique Azure de Microsoft ont mal configuré certains nœuds et ont permis aux pirates de les utiliser pour miner Monero (XMR).
- Les attaques ont touché 10 nœuds de la machine d’apprentissage Kubeflow qui fait partie du réseau Azure.
Dans un rapport du 10 juin, Microsoft a révélé des détails sur la découverte d’une vulnérabilité qui a été exploitée par des attaquants dans son réseau informatique Azure. Le rapport a été publié par Yossi Weizman, un ingénieur logiciel de recherche en sécurité pour l’Azure Security Center (ASC). La vulnérabilité permettait aux attaquants d’utiliser le réseau Azure, via les nœuds d’une machine d’apprentissage appelée Kubeflow pour miner Monero (XMR).
Kubeflow est une machine d’apprentissage pour la plateforme Kubernetes. Microsoft affirme que Kubeflow a gagné en popularité et qu’en raison de sa puissance de calcul, il est devenu une cible pour les cyber-attaques:
Kubeflow s’est développé et est devenu un cadre populaire pour l’exécution de tâches d’apprentissage machine dans les Kubernetes. Les nœuds utilisés pour les tâches ML sont souvent relativement puissants et, dans certains cas, comprennent des GPU. Ce fait fait des clusters Kubernetes qui sont utilisés pour des tâches de ML une cible parfaite pour les campagnes de crypto mining, ce qui était le but de cette attaque.
Des nœuds mal configurés ont permis au pirate de miner Monero (XMR)
Le centre de sécurité Azure a pu déterminer que le vecteur d’accès de l’attaque était le cadre Kubeflow. L’ASC a découvert une image suspecte dans un dépôt de données au sein des grappes de la machine d’apprentissage. Cette image faisait tourner le mineur XMRIG, comme on peut le voir ci-dessous.
Selon l’ASC, le cadre de la machine d’apprentissage Kubeflow est composé de plusieurs services, notamment : cadre pour les modèles de formation, serveurs Katib et Jupyter, entre autres. Les utilisateurs de la machine virtuelle accèdent à ces services via un tableau de bord interne depuis le nœud Kubeflow. La configuration du tableau de bord peut être modifiée pour le confort de l’utilisateur, comme ce fut le cas pour cette attaque selon le Centre de sécurité Azure. Cependant, cette configuration a permis aux nœuds d’être exposés à l’internet et les a rendus vulnérables aux attaques:
Les utilisateurs doivent utiliser le port forward pour accéder au tableau de bord (qui tunnelise le trafic via le serveur API Kubernetes). (…) sans cette action, l’accès au tableau de bord nécessite de passer par le serveur Kubernetes API et n’est pas direct. En exposant le service à l’Internet, les utilisateurs peuvent accéder directement au tableau de bord. Cependant, cette opération permet un accès non sécurisé au tableau de bord Kubeflow, qui permet à n’importe qui d’effectuer des opérations dans Kubeflow, y compris le déploiement de nouveaux conteneurs dans le cluster.
De cette façon, les attaquants peuvent accéder au tableau de bord de Kubeflow et peuvent déployer un conteneur malveillant par la porte dérobée. En utilisant cette méthode, les attaquants peuvent télécharger une image malveillante comme celle montrée ci-dessus sur le serveur du portable Jupyter pour miner Monero. Le centre de sécurité Azure a fait un certain nombre de recommandations pour prévenir ces attaques et a invité ses utilisateurs à revoir les aspects de sécurité lors de l’utilisation de Kubeflow.
Comme l’a rapporté le CNF, Monero est l’une des crypto-monnaies préférées pour ces attaques. En raison de ses caractéristiques, l’identité des attaquants est protégée. En mai, une série de rapports d’institutions scientifiques reconnues, telles que le National Supercomputing Service du Royaume-Uni, ont révélé que les attaquants ont utilisé la puissance de leurs superordinateurs pour miner Monero. Parmi les pays touchés, on compte le Royaume-Uni, l’Allemagne, la Suisse et l’Espagne.
