Kubernetes đã trở thành nền tảng quản lý ứng dụng container hóa phổ biến trong môi trường doanh nghiệp. Tuy nhiên, sự tăng trưởng về mức độ phổ biến cũng kéo theo sự chú ý ngày càng lớn từ các đối tượng độc hại. Sự gia tăng các mối đe dọa mạng nhắm vào Kubernetes đặt ra thách thức đáng kể cho các tổ chức.
Các nhóm tấn công đang khai thác các cấu hình sai trong cụm Kubernetes để thoát khỏi container và di chuyển trực tiếp vào các tài khoản đám mây chứa chúng. Dữ liệu từ xa gần đây cho thấy các hoạt động tấn công Kubernetes, bao gồm việc đánh cắp token tài khoản dịch vụ (service account token), đã tăng 282% trong năm qua. Riêng ngành công nghệ thông tin chiếm hơn 78% tổng số hoạt động được quan sát.
Mô Hình Tấn Công Kubernetes Phức Tạp
Các cuộc tấn công này được tính toán kỹ lưỡng, không phải ngẫu nhiên. Kẻ tấn công không còn chỉ đơn thuần cố gắng thoát khỏi một container đơn lẻ. Chúng lạm dụng cấu hình định danh yếu và quyền truy cập quá mức để di chuyển từ điểm xâm nhập ban đầu vào sâu bên trong hạ tầng đám mây cốt lõi.
Khoảng 22% các môi trường đám mây được giám sát vào năm 2025 đã phát hiện hoạt động đáng ngờ liên quan đến việc đánh cắp token tài khoản dịch vụ. Các sự cố này tuân theo một mô hình rõ ràng:
- Thực thi mã trong container.
- Trích xuất thông tin xác thực được gắn kết.
- Kiểm tra quyền API.
- Chuyển hướng sang các tài nguyên đám mây có giá trị cao hơn.
Nghiên Cứu Thực Tế về Xâm Nhập Hệ Thống
Các nhà nghiên cứu từ Unit 42 đã xác định mối đe dọa này thông qua các trường hợp xâm nhập thực tế, tiết lộ cách các nhóm tấn công kết hợp cấu hình sai Kubernetes với việc lạm dụng thông tin xác thực đám mây để gây ra thiệt hại tài chính và hoạt động nghiêm trọng. Báo cáo của Unit 42 chỉ ra rằng một container bị xâm phạm duy nhất có thể dẫn đến việc kiểm soát các hệ thống tài chính cốt lõi của tổ chức mục tiêu.
Khai Thác Token Tài Khoản Dịch Vụ và Di Chuyển Ngang
Một ví dụ thực tế đáng báo động liên quan đến một nhóm tấn công chuyên nghiệp, được biết đến với tên gọi Slow Pisces, Lazarus hoặc TraderTraitor. Vào giữa năm 2025, nhóm này đã nhắm mục tiêu vào một sàn giao dịch tiền điện tử. Cuộc tấn công bắt đầu bằng việc duy trì quyền truy cập vào máy trạm của nhà phát triển thông qua tấn công spear-phishing.
Chi tiết Về Phương Thức Tấn Công
Sử dụng phiên đám mây đặc quyền và đang hoạt động của nhà phát triển, kẻ tấn công đã triển khai một pod độc hại trực tiếp vào cụm Kubernetes sản xuất. Pod này được xây dựng để lộ ra token tài khoản dịch vụ được gắn kết – một JSON Web Token (JWT) mà Kubernetes tự động gán cho các pod để xác thực với máy chủ API.
Token bị đánh cắp thuộc về một tài khoản dịch vụ quản lý có đặc quyền cao với các quyền RBAC rộng lớn. Sử dụng danh tính bị đánh cắp này, nhóm tấn công đã xác thực với máy chủ API Kubernetes, liệt kê các bí mật, tương tác với các workload trên các namespace khác nhau và thả một backdoor vào một pod sản xuất để duy trì quyền truy cập lâu dài.
Một token được cấu hình sai, khi bị đánh cắp, có thể trao cho kẻ tấn công quyền kiểm soát toàn diện đối với toàn bộ cụm. Tấn công không dừng lại ở ranh giới cụm Kubernetes. Sử dụng các đặc quyền gắn liền với token bị đánh cắp, nhóm tấn công đã di chuyển ngang từ Kubernetes sang nền tảng đám mây rộng lớn hơn.
Chúng đã truy cập các hệ thống backend, truy xuất thông tin xác thực nhạy cảm và tiếp cận cơ sở hạ tầng tài chính của sàn giao dịch, dẫn đến việc đánh cắp hàng triệu tiền điện tử. Kịch bản này phản ánh quy trình hậu khai thác được mô hình hóa bởi Peirates, một framework kiểm thử xâm nhập mã nguồn mở, trình bày cách các token bị đánh cắp có thể liệt kê bí mật, xoay chuyển trên các namespace và truy vấn các dịch vụ siêu dữ liệu đám mây.
Khai Thác Lỗ Hổng CVE-2025-55182 (React2Shell)
Một sự cố lớn thứ hai liên quan đến lỗ hổng CVE CVE-2025-55182, một lỗi nghiêm trọng trong React Server Components được biết đến với tên gọi React2Shell. Lỗ hổng này được công bố công khai vào ngày 3 tháng 12 năm 2025, và việc khai thác tích cực nhắm vào các dịch vụ đám mây đã bắt đầu chỉ trong hai ngày sau đó.
Kẻ tấn công đã lạm dụng việc deserialization không an toàn trong giao thức React Server Components flight để đạt được thực thi mã bên trong các container ứng dụng. Từ đó, chúng đã thu thập các token tài khoản dịch vụ, truy vấn API Kubernetes và thu thập thông tin xác thực đám mây từ các biến môi trường. Sau đó, chúng xoay chuyển vào tài khoản đám mây để cài đặt backdoor và triển khai các công cụ khai thác tiền điện tử (cryptominers).
Các Chỉ Số Thỏa Hiệp (IOCs)
- Nhóm Tấn Công: Slow Pisces (còn được theo dõi là Lazarus, TraderTraitor)
- Lỗ Hổng Khai Thác: CVE-2025-55182 (React2Shell)
- Phương Thức Ban Đầu: Spear-phishing (để chiếm quyền kiểm soát máy trạm nhà phát triển)
- Đối Tượng Khai Thác: Cấu hình sai Kubernetes, token tài khoản dịch vụ (JWT), deserialization không an toàn trong React Server Components.
- Kết Quả Tấn Công: Chiếm quyền điều khiển cụm Kubernetes, di chuyển ngang sang đám mây, đánh cắp thông tin xác thực nhạy cảm, cài đặt backdoor, triển khai cryptominers, thiệt hại tài chính.
Chiến Lược Phòng Ngừa và Tăng Cường Bảo Mật Kubernetes
Để giảm thiểu rủi ro, các nhóm bảo mật cần thực thi nguyên tắc đặc quyền tối thiểu (least privilege) thông qua các chính sách RBAC nghiêm ngặt, tránh cấp quyền wildcard (ký tự đại diện) cho các vai trò tài khoản dịch vụ. Điều này giúp hạn chế phạm vi ảnh hưởng nếu một tài khoản bị xâm phạm.
Quản Lý Token và Giám Sát Runtime
Các token tĩnh có thời gian tồn tại dài nên được thay thế bằng các token tài khoản dịch vụ được dự kiến (projected service account tokens) có thời gian tồn tại ngắn và tự động hết hạn. Việc này làm giảm giá trị của bất kỳ thông tin xác thực nào bị đánh cắp. Token ngắn hạn sẽ giới hạn cửa sổ thời gian mà kẻ tấn công có thể lợi dụng.
Các công cụ giám sát runtime là rất cần thiết. Chúng có thể gắn cờ các hoạt động bất thường như thực thi quy trình lạ, kết nối ra ngoài không mong muốn và truy cập trái phép vào các đường dẫn hệ thống nhạy cảm bên trong container. Các công cụ này có thể ngăn chặn hoạt động độc hại trước khi nó leo thang lên lớp đám mây.
Tầm Quan Trọng Của Nhật Ký Kiểm Toán (Audit Logs)
Nhật ký kiểm toán Kubernetes phải luôn được kích hoạt và xem xét kỹ lưỡng. Chúng ghi lại các dấu hiệu sớm nhất của việc lạm dụng API, truy cập token và di chuyển ngang qua các namespace. Việc phân tích nhật ký định kỳ giúp phát hiện và phản ứng kịp thời với các sự cố bảo mật tiềm ẩn, góp phần quan trọng vào việc tăng cường bảo mật Kubernetes.
