Aanvalsoppervlak Kubernetes explodeert: aantal dreigingen verviervoudigd

In dit artikel:

Kubernetes, de dominante orkestratielaag voor cloud-native applicaties, wordt steeds vaker doelwit van geavanceerde cyberaanvallen. Unit 42 van Palo Alto Networks rapporteert een stijging van 282% in Kubernetes-gerelateerde aanvalspogingen binnen een jaar, waarbij de IT-sector met 78% het zwaarst wordt aangevallen. Vooral cryptoplatformen zijn lucratieve doelen: naast de bekende Bybit-schade begin 2025 signaleerde Unit 42 medio 2025 een andere cryptobeurscompromis waarbij Kubernetes-credentials werden misbruikt.

In die zaak kreeg de aanvalsgroep Slow Pisces (ook bekend als Lazarus/TraderTraitor) via spearphishing toegang tot de werkomgeving van een ontwikkelaar. Met een actieve, geprivilegieerde cloudsessie zette de aanvaller een kwaadaardige pod in het productie-Kubernetes-cluster. Die pod was ingericht om een gemonteerd service-accounttoken te exfiltreren; dat token bleek bij een CI/CD-beheersaccount te horen met zeer ruime rechten. Met die identiteit authenticeren bij de Kubernetes API gaf toegang tot secrets, meerdere namespaces en het plaatsen van backdoors, waarna de aanvaller doordrong tot de financiële infrastructuur en miljoenen in cryptocurrency stal. Slow Pisces werd ook eerder gelinkt aan de grote Bybit-diefstal en andere aanvallen via gestolen cloud-tokens.

Unit 42 belicht ook CVE-2025-55182 (React2Shell): een kwetsbaarheid in React Server Components die op 3 december openbaar werd en binnen twee dagen al voor gerichte aanvallen leidde. Door onveilige deserialisatie in het Flight-protocol konden aanvallers willekeurige code draaien in containers achter ingress controllers en load balancers. Een gecompromitteerde pod bood volledige inzage in bestandssystemen, omgeving, netwerk en gemonteerde identiteiten, waarna service-accounttokens en cloud-credentials werden buitgemaakt en er miner- en backdoor-activiteit plaatsvond. Zulke snelle exploitatie na disclosure is geen uitzondering; onderzoek toont dat nieuwe AKS- en EKS-clusters vaak binnen tientallen minuten worden gescand of aangevallen.

De aanvalspatronen zijn herkenbaar en volgen vaak het MITRE ATT&CK-framework: initiële toegang via kwetsbaarheid of social engineering, gevolgd door tokendiefstal en laterale beweging binnen clusters. Tools zoals Peirates, oorspronkelijk voor red teams, worden door kwaadwillenden ingezet om automatisch service-accounts, secrets en cloud-metadata op te vragen. Belangrijke zwaktes blijven RBAC-misconfiguraties en zwakke pod security-instellingen.

Als weerwerk adviseert Unit 42 drie concrete maatregelen: (1) strikt RBAC volgens het principe van minimale rechten, zonder wildcard-permissies; (2) korte levensduur van service-accounttokens en koppeling aan de levensduur van pods; (3) continue runtime-detectie via een XDR-platform en volledige audit logging om afwijkend procesgedrag, verdachte netwerkconnecties en toegang tot token-paden vroeg te signaleren. Deze stappen beperken het effect van een enkele gecompromitteerde pod en maken latere opsporing en herstel veel haalbaarder.