Untuk pertama kalinya pada awal Maret lalu, ditemukan malware Siloscape (silo escape) yang menyasar Windows container. Siloscape menyerang celah keamanan Windows dengan tujuan utama untuk keluar dari container, yang diimplementasikan oleh server silo. Temuan ini seakan bukan menjadi hal mengejutkan mengingat besarnya lonjakan adopsi cloud selama beberapa tahun terakhir.
Malware Siloscape menargetkan cluster Kubernetes dengan memanfaatkan Windows container. Tujuan utamanya tak lain untuk membuka backdoor ke dalam cluster Kubernetes yang dikonfigurasi dengan tidak sempurna untuk menyusupi container yang membahayakan.
Kerentanan ini memungkinkan Windows container yang disusupi Siloscape digunakan untuk mengontrol node host sehingga berpotensi mengambil alih akses ke cluster Kubernetes. Serangan Siloscape menjadi peringatan bagi tim NetOps dan DevOps untuk menerapkan kontrol keamanan yang tepat di seluruh cluster Kubernetes dengan perlindungan zero trust dan proteksi terhadap firewall web application sejak awal.
Mengamankan seluruh cluster Kubernetes jauh lebih rumit karena menjalankan beberapa aplikasi cloud, sementara container personal biasanya hanya menjalankan satu aplikasi cloud. Dengan begitu, penyerang mungkin dapat mencuri informasi penting seperti nama pengguna dan password, file rahasia milik internal organisasi hingga seluruh database yang di-hosting di cluster. Lantas, bagaimana Siloscape bisa mengeksploitasi Windows Container?
Bagaimana Windows Container Dapat Dieksploitasi?
Dalam kasus container, malware Siloscape awalnya memerlukan eksploitasi kerentanan celah secara remote. Upaya eksploitasi ini tergantung pada aplikasi sasaran, umumnya dikenal dengan istilah “1-day vulnerability”.
Tahap berikutnya merupakan yang paling mengkhawatirkan. Malware akan memanfaatkan link simbolik (fitur Windows yang tidak umum digunakan) untuk memasang sistem file host dengan menirus proses CExecSvc.
Langkah ini memungkinkan malware untuk ‘melarikan diri’ hingga ke node host serta memanfaatkan hak istimewa node untuk membuat penerapan baru di Kubernetes. Imbasnya, koneksi akan kembali ke server proxy Tor dan domain .onion dengan perintah yang bisa dilakukan secara remote. Data yang diakses Siloscape beragam, mulai dari yang berada di dalam Kubernetes hingga mengontrol container produksi Kubernetes.
Pada umumnya, container beroperasi dengan berbagai kernel dengan node host dan mengeksekusi setiap instruksi pada host secara langsung. Namun dalam kasus ini, temuan terbaru mengungkap bahwa Siloscape lolos dari teknik ini. Perlu diingat, Siloscape hanya memengaruhi salah satu dari dua bentuk Windows container, yakni process Isolation Container (silo container) bukan hyper-v isolation container. Process Isolation Container memiliki cara kerja serupa dengan Linux container yakni semua container berbagi kernel OS host.
Dampak Kerentanan yang Dialami Bisnis
Berbeda dengan kebanyakan malware cloud yang mayoritas fokus pada pembajakan (DoS) dan cryptojacking, Siloscape melakukan apa pun yang membahayakan cluster itu sendiri. Siloscape sebenarnya tidak melakukan apa pun yang membahayakan cluster, tetapi justru fokus agar tidak terlacak dan membuka back door untuk beragam jenis aktivitas jahat lainnya.
Pastikan admin menyamakan proses apa pun yang berada di Windows Server container memiliki hak spesial yang sama dengan admin pada host node Kubernetes. Apabila bisnis Anda juga menggunakan aplikasi Windows Server maka perlu segera diamankan dan diisolasi. Opsi memindahkan aplikasi ke hyper-v isolation container secara ketat harus sesuai rekomendasi Microsoft.
Selain itu, admin juga harus memastikan cluster Kubernetes telah terkonfigurasi dengan aman. Secara khusus, cluster Kubernetes tidak akan rentan terhadap malware karena memiliki node khusus. Penting bagi organisasi untuk menjaga lingkungan cloud yang terkonfigurasi dengan baik dan aman agar terlindung dari ancaman siber.
Solusi Kemp untuk Proteksi Serangan Malware
Untuk mengatasi isu di atas, Kemp hadir dengan solusi untuk mengamankan semua trafik masuk ke container sebagai salah satu upaya mitigasi. Kemp Ingress Controller dengan Web Application Firewall dan Zero Trust akan mengotomatiskan konfigurasi end-point dengan merutekan trafik eksternal ke cluster Kubernetes.
Kemp LoadMaster secara otomatis menyediakan layanan virtual yang diperlukan dan kebijakan ingress melalui API Kubernetes dan mengarahkan trafik langsung ke Kubernetes Pods. Hal ini memungkinkan layanan mikro untuk dikelola dengan aplikasi monolotik tradisional dengan memanfaatkan layanan terbaru seperti Web Application Firewall, Access Management, GEO, dan layanan traffic management L7.
Kemp juga memberikan solusi perlindungan aplikasi lewat Web Application Firewall (WAF) dari kerentanan seperti SQL injection dan cross-site scripting (XSS). Proteksi ini memungkinkan Anda membuat profil keamanan per aplikasi untuk memfilter berdasarkan sumber lokasi, aturan pre-integrasi untuk vektor serangan umum, dan dukungan aturan khusus lainnya.
Kustomisasi aturan membantu Anda melindungi semua aplikasi dari dalam LoadMaster dari serangan yang diketahui dan mencegah pola trafik tertentu saat menjangkau aplikasi dan API tanpa perlu mengubah aplikasi atau infrastruktur.
WAF diaktifkan sebagai bagian dari infrastruktur jaringan untuk memberi pertahanan untuk server web dan aplikasi dari lanskap ancaman yang terus berubah. LoadMaster juga menyediakan proteksi komprehensif termasuk DDoS, IDS/IPS, rate-limiting, enkripsi SSL/TLS, autentikasi, dan SSO. Tak hanya itu, WAF juga menyederhanakan penyesuaian dan penskalaan sesuai lingkungan bisnis Anda.
Kemp merancang Zero Trust Access Gateway untuk menyederhanakan penerapan model zero trust untuk akses yang aman ke workload dan layanan yang dipublikasikan. Arsitektur Zero Trust Access Gateway memanfaatkan ADC Loadmaster Kemp, integrasi IAM, dan kontrol trafik kontekstual untuk melindungi aplikasi yang di-proxy.
Pembuat kebijakan berbasis API memungkinkan definisi dan penerapan kebijakan zero trust diterapkan secara otomatis ke instant load balancer LoadMaster.
Dapatkan Solusi KEMP dari BPT
Cegah bisnis Anda menjadi korban serangan malware yang terus berubah-ubah dengan menerapkan solusi dari Kemp. Dapatkan semua keunggulan Kemp dari Blue Power Technology (BPT) sebagai mitra resmi Kemp di Indonesia.
Tim IT BPT berpengalaman dan tersertifikasi akan membantu Anda memberikan layanan lengkap, mulai dari konsultasi hingga dukungan after sales. Untuk informasi lebih lanjut, silakan hubungi marketing@bluepowertechnology.com. [EA]