逾38万Kubernetes API服务器有暴露风险

发布时间：2025-12-07 20:36:40 作者：玩站小弟

作者 | Jeff Burt译者 | 仇凯整理 | Noe在云原生时代，越来越多的企业意识到容器将成为IT架构中关键的基础设施平台，纷纷转向Kubernetes，通过其容器编排及管理能力，轻松维护生产。

　　作者 | Jeff Burt

　　译者 | 仇凯

　　整理 | Noe

在云原生时代，逾万有暴越来越多的露风企业意识到容器将成为IT架构中关键的基础设施平台，纷纷转向Kubernetes ，逾万有暴通过其容器编排及管理能力，露风轻松维护生产、逾万有暴开发和测试环境。露风但近日有研究人员发现，逾万有暴大量Kubernetes API服务器存在安全风险。露风

非营利性安全组织Shadowserver Foundation最近扫描了454729个Kubernetes API实例。逾万有暴通过扫描端口6443和443上的露风所有IPv4空间，寻找响应“HTTP 200 OK 状态”（这表明请求成功）的逾万有暴IP地址，结果发现其中有381645个响应为 "200 OK"，露风占总体的服务器租用逾万有暴84% 。

扫描结果并不意味着这些服务器完全开放，露风它更多地意味着这些服务器有可能成为易受威胁的逾万有暴攻击目标，为攻击者提供入侵企业网络的可行途径。

“虽然这并不意味着这些实例是完全开放或存在可被攻击的漏洞，这种级别的访问方式似乎并非有意造成的，但是这些实例是非必要的攻击暴露面，高防服务器”Shadowserver的团队在一篇文章中强调，“这还导致了包含软件版本和构建方式等信息的泄漏。”

数据安全公司Comforte AG的市场主管Erfan Shadabi表示，尽管这些信息看似无关紧要，但是企业不应低估这些Kubernetes API服务器在互联网暴露所带来的风险。

Shadabi提到：“Kubernetes的发展势不可挡，它为企业应用程序的敏捷交付创造了巨大收益，但它的工作特性使其成为了理想的亿华云攻击目标。例如，由于管理和运行许多容器，Kubernetes就形成了很大的攻击面，如果事先未进行充分评估并建立有效的防护措施，这些攻击面就非常容易遭受攻击。因此，Shadowserver Foundation的扫描发现了如此多的漏洞也就不足为奇了。”

更令人担忧的是，Kubernetes内置的建站模板数据安全功能只达到了安全要求的最低标准，只能保护静态数据和动态数据，“没有使用类似字段级标记化的行业通用技术来对数据本身进行持久保护” 。

“如果一个生态系统受到威胁，那么与之相关的敏感数据受到无法抵挡的潜在攻击只是时间问题。在生产环境中使用容器和Kubernetes的企业必须谨慎对待Kubernetes的安全性问题。”

Kubernetes目前是本地环境和公有云环境中最受欢迎的容器管理工具，模板下载Red Hat(OpenShift)、VMware(Tanzu)和SUSE(Rancher)等供应商都有商业版本的Kubernetes系统可供选择。根据市场研究公司Statista的数据，截至2021年，全球近50%的企业已经直接或间接地使用了Kubernetes。因此其潜在的安全风险更加不容忽视。

近年来，我们发现开源系统逐渐受到更多攻击者的青睐。在云计算时代，围绕Linux的攻击面在逐渐扩大。源码库

网络安全供应商趋势科技在去年的一份报告中指出，其Cloud One产品保护的云工作负载中，Linux系统占61%，Windows系统占39% 。网络威胁的范围从勒索软件和木马延伸到挖矿软件和Webshell。

“鉴于Linux深深植根于日常工作，尤其是作为云基础设施和物联网(IoT)不可或缺的一部分，Linux和Linux工作负载的安全性必须与Windows和其他操作系统同等对待。”趋势科技的研究人员写道。

去年年底，当被广泛使用的Apache Log4j日志工具中的漏洞被披露时，开源系统面临的风险和威胁就被凸显出来了。这些缺陷很容易被利用，而且Log4j的使用非常广泛，以至于许多企业很难在其IT环境中找到所有包含Log4j的实例来修复它们。攻击者反应非常快速，利用这个被称为Log4Shell的缺陷进行大范围的攻击，并持续将它们用作系统的攻击锚点。

这在上周的一份报告中得到了证明，该报告发现与俄罗斯有关的Wizard Spider是Conti和Ryuk等勒索软件背后的威胁组织，它在某些利用Log4Shell开展的活动中有广泛的影响力。

Shadowserver建议企业对Kubernetes API服务器实施访问授权或在防火墙中配置阻断策略以阻止未授权访问，进而减少攻击面。

译者介绍

　　仇凯，51CTO社区编辑，目前就职于北京宅急送快运股份有限公司，职位为信息安全工程师。主要负责公司信息安全规划和建设（等保，ISO27001），日常主要工作内容为安全方案制定和落地、内部安全审计和风险评估以及管理。

　　原文标题：381,000-plus Kubernetes API servers exposed to internet，

　　链接：https://www.theregister.com/2022/05/23/kubernetes-vulnerable-shadowserver/

Tag：

VMware 修复了三个身份认证绕过漏洞
Bleeping Computer网站披露，VMware 近期发布了安全更新，以解决 Workspace ONE Assist 解决方案中的三个严重漏洞，分别追踪为 CVE-2022-31685认证绕
2025-12-07
探秘尼康70-200f4镜头的优势和适用场景（性价比高、画质出色、广泛应用于体育和野生摄影领域）
尼康70-200f4镜头作为一款长焦变焦镜头，以其出色的性价比、卓越的画质和广泛的应用场景而受到摄影爱好者的喜爱。本文将重点介绍这款镜头的特点和优势，以及适用的场景，帮助读者更好地了解和使用该镜头。轻
2025-12-07
Win10官方装系统教程（从零开始，让你的电脑焕然一新）
随着时间的推移，操作系统在电脑使用中逐渐变得缓慢和不稳定。为了解决这个问题，重新安装一个全新的操作系统是必要的。本文将以Win10官方装系统教程为主题，详细介绍如何轻松实现操作系统的安装。一、准备工作
2025-12-07
手提电脑一键还原教程（快速恢复电脑原始状态，让你的电脑焕然一新）
随着时间的推移，我们使用的手提电脑可能会变得越来越慢，出现各种问题。为了解决这些问题，一键还原功能成为了很多电脑品牌提供的重要功能。通过一键还原，我们可以迅速将电脑恢复到出厂设置，让它焕然一新。在本文
2025-12-07
五分钟弄清楚数据使用阶段的安全
一、前言当前我国数字经济发展迅速，例如：大数据、云计算、物联网、AI、5G等等，数字经济与各行各业融合发展，相互促进，已经渗透到国民经济的方方面面，数字经济的发展过程中，产生了大量的数据。2020 年
2025-12-07
手指充电（以指尖之力，让充电变得更便捷）
手指充电是一种新兴的充电方式，通过将充电技术应用于手指之中，使得我们可以轻松地为电子设备充电。这种创新的充电方式极大地简化了充电过程，提高了充电的便捷性和效率。本文将探讨手指充电的原理、优势以及其在未
2025-12-07