微软警告攻击者利用配置错误的 Apache Pinot 安装实例

微软对 Kubernetes 安装安全性进行的研究表明，威胁组织已经将目标锁定在配置错误的 Apache Pinot 实例上。

Apache Pinot 是一个开源实时分析平台，旨在高速、低延迟地查询大型数据集。全球一些最大的公司都在使用 Pinot，包括沃尔玛、Uber、Slack、LinkedIn、Wix 和 Stripe。

在 Kubernetes 安装的情况下，Apache Pinot 官方文档并未告知用户默认配置非常不安全，并且可能会暴露敏感的用户数据。

微软研究人员解释说： “默认安装通过 Kubernetes LoadBalancer 服务将 Apache Pinot 的主要组件暴露给互联网，并且默认情况下不提供任何身份验证机制。”

他们警告说，未经身份验证的攻击者可以完全访问 Pinot 仪表板，从而查询存储的数据并管理工作负载。

这种风险并非仅存在于理论上。微软表示，已发现多起 Pinot 工作负载配置错误，导致攻击者在野外访问用户数据。

微软对错误配置和缺乏适当的身份验证或授权机制的分析表明，“一小部分但关键的应用程序要么根本不提供身份验证，要么使用预定义的用户和密码进行登录，这使它们成为攻击者的主要目标”。

微软研究人员发现，用于云基础设施协同设计和运营的工程平台Meshery受到一个漏洞的影响，该漏洞允许攻击者执行任意代码并获得对底层资源的控制权。

攻击者需要访问暴露应用程序接口的外部IP地址，通过限制Meshery对内部网络的访问可以防止攻击。

微软总结说：“许多对容器化应用程序的野外攻击都源于错误配置的工作负载，通常是在使用默认设置时。”

详情参考微软技术博客：

https://techcommunity.microsoft.com/blog/microsoftdefendercloudblog/the-risk-of-default-configuration-how-out-of-the-box-helm-charts-can-breach-your/4409560

新闻链接：

https://www.securityweek.com/microsoft-warns-of-attackers-exploiting-misconfigured-apache-pinot-installations/

讲述普通人能听懂的安全故事