استغلال ثغرات Kubernetes المتزايدة يهدد أمن الحسابات السحابية.
أصبح نظام Kubernetes من المنصات الرائدة في إدارة التطبيقات المعبأة في حاويات داخل بيئات الشركات، ومع هذا الانتشار المتزايد، تتزايد أيضاً أهداف الجهات الخبيثة.
تشير آخر البيانات إلى أن الجهات المهددة تستغل الآن التكوينات الخاطئة داخل عناقيد Kubernetes، مما يتيح لها الإفلات من الحاويات والانتقال مباشرة إلى الحسابات السحابية التي تستضيفها.
من الحاوية إلى السحابة: استيلاء على الرموز المميزة
كشفت أبحاث حديثة عن زيادة ملحوظة في الأنشطة الهجومية المتعلقة بـ Kubernetes، بما في ذلك سرقة رموز حسابات الخدمة، حيث ارتفعت بنسبة 282% خلال العام الماضي.
يشكل قطاع تكنولوجيا المعلومات أكثر من 78% من إجمالي الأنشطة الرصينة، مما يؤكد حساسية هذا القطاع.
تتسم هذه الهجمات بالدقة والتخطيط، حيث لم يعد المهاجمون يكتفون بمحاولة الهروب من حاوية واحدة.
بل إنهم يستغلون نقاط الضعف في تكوينات الهوية والتحكم في الوصول المفرط، بهدف التحرك من نقطة اختراق أولية وصولاً إلى البنية التحتية السحابية الأساسية.
وفي حوالي 22% من البيئات السحابية التي تمت مراقبتها في عام 2025، تم اكتشاف نشاط مشبوه مرتبط بسرقة رموز حسابات الخدمة.
لذلك، تتبع هذه الحوادث نمطاً واضحاً: الحصول على تنفيذ التعليمات البرمجية داخل حاوية، واستخراج بيانات الاعتماد المثبتة، واختبار أذونات واجهة برمجة التطبيقات، ثم الانتقال إلى موارد سحابية ذات قيمة أعلى.
تحليل معمق للحوادث
حدد باحثو Unit 42 هذا التهديد المتنامي من خلال حالات اختراق واقعية، وكشفوا كيف تقوم المجموعات المهددة بتسلسل أوجه القصور في تكوينات Kubernetes مع إساءة استخدام بيانات اعتماد الخدمات السحابية لإحداث أضرار مالية وتشغيلية جسيمة.
وتتبعت النتائج التي توصلوا إليها مساراً مباشراً من حاوية واحدة تم اختراقها وصولاً إلى الأنظمة المالية الأساسية للمؤسسات المستهدفة.
Among the most alarming real-world examples is an intrusion tied to Slow Pisces, a North Korean state-sponsored group also tracked as Lazarus and TraderTraitor.
في منتصف عام 2025، استهدفت هذه المجموعة بورصة للعملات المشفرة بعد أن تمكنت من التثبيت على محطة عمل مطور عبر التصيد الاحتيالي.
باستخدام جلسة السحابة النشطة والمميزة للمطور، قام المهاجمون بنشر “بود” خبيث مباشرة في عنقود Kubernetes الإنتاجي.
تم تصميم هذا “البود” لكشف رمز حساب الخدمة المثبت – وهو رمز ويب JSON (JWT) تقوم Kubernetes بتعيينه تلقائيًا لوحدات “البود” للمصادقة مع خادم واجهة برمجة التطبيقات.
الرمز الذي تم سرقته كان ينتمي إلى حساب خدمة إدارة عالي الامتياز يتمتع بصلاحيات RBAC واسعة.
باستخدام هذه الهوية المسروقة، قام الجهات الفاعلة الخبيثة بالمصادقة على خادم واجهة برمجة التطبيقات الخاص بـ Kubernetes، وسرد الأسرار، وتفاعل مع أعباء العمل عبر مساحات الأسماء، وأسقط بابًا خلفيًا في “بود” إنتاجي للحفاظ على الوصول المستمر.
رمز واحد تم تكوينه بشكل خاطئ، عند سرقته، يمكن أن يمنح المهاجم سيطرة شاملة على عنقود كامل.
هجمات متطورة
لم تتوقف الهجمة عند حدود العنقود. باستخدام الامتيازات المرتبطة بالرمز المسروق، انتقل المهاجم جانبيًا من Kubernetes إلى المنصة السحابية الأوسع.
لقد وصلوا إلى الأنظمة الخلفية، واستعادوا بيانات الاعتماد الحساسة، ووصلوا إلى البنية التحتية المالية للبورصة – مما أدى إلى سرقة ملايين العملات المشفرة.
هذا يوازي سير عمل ما بعد الاستغلال الذي تم نمذجته بواسطة Peirates، وهو إطار عمل لاختبار الاختراق مفتوح المصدر يوضح كيف تقوم الرموز المسروقة بتعداد الأسرار، والانتقال عبر مساحات الأسماء، والاستعلام عن خدمات بيانات وصفية سحابية.
حادثة مهمة ثانية شملت CVE-2025-55182، وهو عيب حرج في مكونات خادم React يُعرف باسم React2Shell.
تم الكشف عنه علنًا في 3 ديسمبر 2025، وبدأت الاستغلالات النشطة التي تستهدف الخدمات السحابية في غضون يومين فقط.
استغل المهاجمون عدم أمان تسلسل البيانات في بروتوكول طيران مكونات خادم React لتحقيق تنفيذ التعليمات البرمجية داخل حاويات التطبيقات.
من هناك، قاموا بحصاد رموز حسابات الخدمة، والاستعلام عن واجهة برمجة التطبيقات الخاصة بـ Kubernetes، وجمع بيانات اعتماد سحابية من متغيرات البيئة – للانتقال إلى الحساب السحابي لتثبيت أبواب خلفية ونشر عمال المناجم المشفرة.
توصيات أمنية
لتقليل التعرض، يجب على فرق الأمان فرض مبدأ الامتياز الأقل من خلال سياسات RBAC صارمة، وتجنب الأذونات العامة عبر أدوار حسابات الخدمة.
يجب استبدال الرموز الثابتة طويلة الأجل برموز حسابات خدمة قصيرة الأجل ومسقطة تنتهي صلاحيتها تلقائيًا، مما يقلل من قيمة أي بيانات اعتماد مسروقة.
تعد أدوات المراقبة في وقت التشغيل التي تكتشف تنفيذ العمليات غير العادية، والاتصالات الصادرة غير المتوقعة، والوصول غير المصرح به إلى المسارات الحساسة للنظام داخل الحاويات ضرورية أيضًا، حيث يمكنها إ