一、概要

近日，华为云关注到国外某安全团队披露了一起黑客利用Kubeflow配置不当导致的未授权访问漏洞，漏洞可被利用恶意挖矿甚至远程控制服务器。

Kubeflow是Kubernetes集群中的机器学习工具包，Kubeflow功能可通过连接到仪表板的API服务器使用，用户可利用该仪表板来管理其任务。通常仪表板只能通过位于群集边缘的Istio入口网关使用。但当用户改Istio服务默认设置为Load-Balancer，会导致将仪表板直接暴露到了互联网上，任何人都可以直接访问，并对Kubeflow功能进行更改。

华为云提醒使用Kubeflow用户及时安排自检并做好安全加固。

参考链接：

https://www.microsoft.com/security/blog/2020/06/10/misconfigured-kubeflow-workloads-are-a-security-risk/?spm=a2c4g.11174386.n2.3.5c871051EQNQto

https://mp.weixin.qq.com/s/UGwxgA2ZLH4YSSuXOa_1Mw

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响范围：

使用Kubeflow功能并将Istio服务修改为Load-Balancer的用户。

四、漏洞处置

如何检查您的集群是否受到漏洞影响？

1、确认在集群中未部署恶意容器，可按以下命令可以检查：

kubectl get pods –all-namespaces -o jsonpath=”{.items[*].spec.containers[*].image}”  | grep -i ddsfdfsaadfs

2、确保其仪表板未暴露于Internet：通过以下命令检查Istio入口服务的类型，可以确保它不是具有公共IP的负载平衡器：

kubectl get service istio-ingressgateway -n istio-system

注：华为云容器安全CGS已具备对该异常行为镜像检测能力。修复漏洞前请将资料备份，并进行充分测试。