Waarom hackers dol zijn op Kubernetes
Terwijl organisaties massaal overstappen op Kubernetes voor het beheren van hun cloud-applicaties, verschuift de aandacht van cybercriminelen mee. Uit nieuw onderzoek van Unit 42, de onderzoekstak van Palo Alto Networks, blijkt dat het aantal operaties gericht op Kubernetes-omgevingen het afgelopen jaar met maar liefst 282% is gestegen. Vooral de IT-sector is doelwit; ruim 78% van de aanvallen vond hier plaats.
De tijd dat aanvallers alleen probeerden uit een "container" te ontsnappen naar de fysieke server ligt achter ons. De moderne hacker richt zich nu op de identiteit van Kubernetes om diep door te dringen in de kern van de cloud-infrastructuur.
De anatomie van een aanval
Aanvallers volgen een steeds terugkerend patroon dat Unit 42 omschrijft als een drietrapsraket:
- Toegang: Het exploiteren van een kwetsbaarheid in een publiek toegankelijke applicatie (zoals een webserver).
- Identiteitsdiefstal: Het stelen van het Service Account Token uit de gecompromitteerde container.
- Privilege Escalation: Het gebruiken van dit token om de Kubernetes API aan te roepen, bevoegdheden te verhogen en zich zijdelings (lateral movement) naar andere delen van de cloud te verplaatsen.
Praktijkcases: Van Crypto-beurzen tot 'React2Shell'
Onderzoekers Eyal Rafian en Bill Batchelor lichten twee opvallende casussen uit die de ernst van de situatie onderstrepen.
1. De aanval op de Crypto-beurs
In 22% van de cloud-omgevingen werden in 2025 verdachte activiteiten waargenomen rondom de diefstal van tokens. In één specifiek geval wisten aanvallers via een simpele productie-omgeving binnen te dringen bij een cryptocurrency-beurs. Door een gestolen identiteit te misbruiken, konden zij vanuit een geïsoleerde container overstappen naar de meest gevoelige financiële systemen in de backend.
2. De React2Shell-kwetsbaarheid (CVE-2025-55182)
Binnen twee dagen nadat deze kritieke kwetsbaarheid in React-servers bekend werd, sloegen hackers toe. Via deze weg kregen zij remote code execution binnen Kubernetes-workloads. Eenmaal binnen installeerden zij backdoors en stalen zij database-wachtwoorden en cloud-inloggegevens.
Waarom Kubernetes Kwetsbaar is
Kubernetes is ontworpen voor automatisering en schaalbaarheid, niet per definitie voor 'security by default'. De grootste risico's schuilen in:
- Overgeprivilegieerde accounts: Service-accounts die meer rechten hebben dan nodig.
- Misconfiguraties: Fouten in Role-Based Access Control (RBAC) waardoor een aanvaller via één pod het hele cluster kan overnemen.
- Gebrek aan zichtbaarheid: Traditionele firewalls zien vaak niet wat er binnen een cluster tussen containers gebeurt.
Hoe verdedigers kunnen terugslaan
De strijd is niet verloren, maar vraagt om een andere aanpak. Beveiligingsexperts adviseren om Kubernetes te transformeren van een blootstellingspunt naar een weerbaar platform door:
- Runtime Visibility: Diepgaand inzicht in wat er op elk moment in een container gebeurt.
- Least Privilege: Strikt beperken van rechten voor service-accounts. Als een pod alleen data hoeft te lezen, geef hem dan geen schrijfrechten.
- Monitoring van Audit Logs: Het continu scannen van Kubernetes audit logs op afwijkende API-aanroepen.
Met de juiste configuratie en constante monitoring kan Kubernetes juist een zeer veilige haven zijn. Echter, zoals de cijfers laten zien: wie de beveiliging van zijn containers verwaarloost, zet de achterdeur van zijn gehele cloud-imperium wagenwijd open.
Meer over kubernetes
Over Witold Kepinski
