简介

研究人员发现一个属于Tesla的未保护的Kubernetes console，该console是用来自动执行应用容器、虚拟化软件和一些基于云的服务的部署、扩展和操作。

注：Kubernetes是一个开源平台,用于跨主机群集自动部署,扩展和操作应用程序容器,提供以容器为中心的基础架构。

研究人员发现用于加密货币挖矿的脚本可以在非授权的情况下利用计算资源来挖矿，而脚本是运行了Tesla不安全的Kubernetes实例中的，攻击者利用该实例可以用Tesla AWS云平台的计算资源为自己挖矿。

而Tesla AWS系统也含有车辆遥测这样的敏感数据，这些敏感数据也是因为不安全的保护导致泄露的。

攻击流程

在Tesla的案例中，攻击者首先获取了Tesla Kubernetes administrative console的访问权限，而Kubernetes console泄露了访问Tesla AWS的凭证。利用这些泄露的凭证可以访问存储在Amazon S3 buckets的非公开的Tesla信息。

在这个过程中黑客还使用了一些避免被检测的技术。威胁单元安装了挖矿池软件并指导挖矿脚本连接到一些不在列表上的终端。这样，基于域名和IP的威胁检测系统就很难检测到了。

除此之外，攻击者还隐藏了挖矿池的真实IP地址来保持CPU利用率比较低，并防止流量达到可疑的等级。

官方回应

Tesla回应说事件发生的原因是工程师忘了设定Kubernetes console的访问密码。而且漏洞的影响范围很小，只限于内部使用的工程师测试汽车使用，所以内部调查并没有发现此次事件并没有发现泄露客户隐私、或者汽车安全相关的线索。

启示

现在，威胁单元已经开始使用脚本、勒索软件和其他技术来挖矿或者窃取有价值的加密货币资产。

管理不善和API访问规则让3/4的公司允许root用户账户执行普通的活动，随着GDPR的生效，企业远远达不到有效管理云平台和确保一致性的要求。

安全是一种共享的责任，每个企业有义务监控他们提供或负责的基础设施的安全，需要检测风险相关的配置、异常的用户活动，可疑的网络流量，主机的漏洞等。