Kubernetes is de industriestandaard voor cloud-native workloads. Die alomtegenwoordigheid nodigt cyberaanvallers uit om de zwaktes ervan te exploiteren. De orkestratielaag achter de moderne cloud heeft niet alleen te maken met een enorme toename in het aantal aanvallen, maar ook steeds meer geraffineerde cyberdreigingen.
Het aantal Kubernetes-gebaseerde aanvalspogingen is in een jaar tijd met 282 procent toegenomen. Unit 42 van Palo Alto Networks meldt dat de IT-sector verreweg het zwaarst getroffen wordt op dit gebied. 78 procent van alle kwaadaardige activiteit is gericht op deze sector. De doelwitten zijn selectief, zoals cryptobeurzen. Daar waar het bekende Bybit begin 2025 via AWS-tokens blootgelegd werd, ontdekte Unit 42 een compromis van een andere cryptobeurs via Kubernetes-credentials.
Waarom Kubernetes?
Voordat we dieper in de case studies duiken, is het belangrijk om te benadrukken dat deze ontwikkeling niet meer dan logisch is. Kubernetes is een wereldwijd gebruikte standaard voor het orkestreren van grootschalige applicaties in de cloud. Ondanks deze adoptie, inmiddels bijna een garantie ongeacht de cloud naar keuze, is veiligheid nooit inherent toegepast op de technologie. In plaats daarvan vertrouwt het op oplossingen die credentials beveiligen en isolatie garanderen.
Aanvallers richten zich steeds vaker op de identiteiten die draaien binnen Kubernetes-clusters. Dit zijn de zogenoemde service account tokens. Die tokens geven pods toegang tot de Kubernetes API. Wie zo’n token bemachtigt, heeft mogelijk directe toegang tot de gehele clusterinfrastructuur. In 22 procent van de cloudomgevingen in 2025 werd verdachte activiteit vastgesteld die wijst op tokendiefstal, aldus Unit 42.
Cryptobeurs getroffen via kwaadaardige Kubernetes-pod
We keren terug naar de eerder genoemde inbreuk van de cryptobeurs medio 2025, geobserveerd door de securityonderzoekers van Palo Alto Networks. De aanval is gelinkt aan Slow Pisces, ook bekend als Lazarus of TraderTraitor. Het is een Noord-Koreaanse staatsgroep die financieel gemotiveerd is. Omdat cryptomunten te stelen zijn als gehele wallets, zijn platformen als Bybit en de later getroffen beurs uiterst aantrekkelijke doelwitten.
Via spearphishing verkreeg de aanvaller toegang tot de werkplek van een ontwikkelaar. Daarna benutte hij de actieve, geprivilegieerde cloudsessie van die medewerker om een kwaadaardige pod te deployen in het productie-Kubernetes-cluster.
Die pod was specifiek ontworpen om het gemonteerde service account token bloot te leggen. De token bleek te behoren aan een beheersaccount met zeer uitgebreide rechten, gebruikt door een CI/CD-systeem via role-based access control. Met die identiteit authenticeerde de aanvaller rechtstreeks bij de Kubernetes API-server, onderschepte het secrets, kon het sleutelen aan workloads in meerdere namespaces en plaatste het een backdoor in een productie-pod. Vervolgens bewoog de kwaadwillende door het netwerk richting de financiële infrastructuur van de beurs, waarbij miljoenen aan cryptocurrency werden gestolen.
Slow Pisces was eerder ook in verband gebracht met de eerder genoemde Bybit-hack van februari vorig jaar. Toen werd circa 1,5 miljard dollar aan Ethereum gestolen. Het is op moment van schrijven de grootste digitale diefstal in de geschiedenis. In mei 2025 volgde een aanval op de Taiwanese cryptobeurs BitoPro, opnieuw via social engineering en gestolen AWS-tokens.
React2Shell: aanvallen binnen twee dagen na disclosure
Een tweede casus genoemd door Unit 42 betreft CVE-2025-55182, ook wel React2Shell. Deze kwetsbaarheid in React Server Components werd op 3 december openbaar gemaakt. Gerichte aanvallen op clouddiensten volgden al gauw, namelijk tussen 5 en 7 december. Door onveilige deserialisatie in het RSC Flight-protocol konden aanvallers willekeurige code uitvoeren in applicatiecontainers achter ingress controllers en cloud load balancers.
Eenmaal in de pod lagen alle deuren open. Met andere woorden, toegang kon worden verkregen tot het bestandssysteem, omgevingsvariabelen, netwerkinformatie en gemonteerde identiteiten. Aanvallers gebruikten die toegang om service account tokens te stelen, cloud credentials uit omgevingsvariabelen te trekken en voort te bewegen naar het onderliggende cloudaccount.
In meerdere gevallen werden cryptominers geïnstalleerd, backdoors geplaatst en inloggegevens voor databases buitgemaakt. Dat aanvallen zo snel op een disclosure volgen is niet uitzonderlijk: onderzoek van Wiz toont aan dat AKS-clusters gemiddeld binnen 18 minuten na het aanmaken ervan aangevallen worden en EKS-clusters binnen 28 minuten.
Bekende tools, herkenbaar patroon
Aanvallers volgen bij deze compromissen ‘netjes’ het MITRE ATT&CK-framework. Eerst initiële toegang via een kwetsbaarheid (T1190) of social engineering, daarna tokendiefstal (T1528). Met het gestolen service account token manoeuvreren aanvallers binnen het cluster en schroeven ze privileges op. Zo uniek zijn de aanvallen dus niet, maar de enorme reikwijdte van Kubernetes maakt een compromis via deze infrastructuur uiterst breed toepasbaar.
Frameworks zoals Peirates, oorspronkelijk gebouwd voor red teams, helpen de aanvallers aanzienlijk. Peirates kan service accounts, secrets en cloud metadata op- en bevragen. Unit 42 wijst naar meerdere groeperingen die onder meer speciale plugins in hun malware bouwen om met weinig activiteit veel gevoelige data op te vragen.
Kubernetes kent meerdere kritieke kwetsbaarheden die aanvallers benutten, waarbij misconfiguraties in RBAC en pod security settings de meest voorkomende ingang vormen. Hoewel dit al jaren bekende problemen zijn, blijven het de meest gebruikelijke manieren waarmee aanvallers succesvol zijn.
Drie maatregelen die het aanvalspad doorbreken
Unit 42 beschrijft drie concrete stappen voor verdedigers. Ten eerste: strikt RBAC-beleid op basis van minimale rechten. Wildcard-permissies geven aanvallers via één gecompromitteerde pod toegang tot kritieke clusterresources. Dat ene te ruime account is vaak bepalend voor grootschalige aanvallen.
Ten tweede adviseert Unit 42 om service account tokens een korte levensduur te geven. Deze tokens zijn normaliter veelal onbeperkt (!) geldig, dat ideaal is voor aanvallers die de tijd nemen en de moeite doen om onopvallend te zijn. Geleidelijk verzamelen ze genoeg informatie om ongemerkt diepgaande toegang te verkrijgen. Door tokens juist te binden aan de levensduur van een pod, verliest een gestolen token snel zijn waarde.
Ten derde is het belangrijk om runtime-monitoring continu te draaien via een XDR-platform. Deze oplossingen detecteren abnormaal procesgedrag, onverwachte netwerkverbindingen en toegang tot gevoelige paden zoals `/var/run/secrets/kubernetes.io/serviceaccount/token`. Ook is audit logging veelal onderbelicht, waardoor aanvallers ongezien blijven en onderzoek achteraf cruciale informatie mist.
Unit 42 legt deze keer de vinger op de zere plek van Kubernetes, maar het heeft recent menig ander cybergevaar uitgestippeld. Eerder publiceerde het team onderzoek naar het omzeilen van AI-vangrails en bracht het de impact van Iraanse cyberaanvallen in kaart.