Το malware Kinsing τώρα επιτίθεται σε Kubernetes clusters, εκμεταλλευόμενο τις υπάρχουσες ευπάθειες στα container images και τα ανεπαρκώς ασφαλισμένα, εκτεθειμένα PostgreSQL containers.
Η ομάδα Defender for Cloud της Microsoft έχει αναγνωρίσει ότι οι ίδιες τακτικές χρησιμοποιούνται πιο συχνά τελευταία, γεγονός που δείχνει ότι οι κακόβουλοι φορείς στοχεύουν ενεργά σε συγκεκριμένα entry points.
Το Kinsing είναι ένα Linux malware με ιστορικό στόχευσης περιβαλλόντων σε εμπορευματοκιβώτια για εξόρυξη κρυπτογράφησης, χρησιμοποιώντας τους πόρους υλικού του διακομιστή που έχουν παραβιαστεί για τη δημιουργία εσόδων για τους απειλητικούς παράγοντες.
Οι χάκερ της Kinsing είναι γνωστοί για τη χρήση επικίνδυνων ευπαθειών όπως το Log4Shell και πρόσφατα ένα Atlassian Confluence RCE για να διεισδύσουν στα συστήματα των θυμάτων τους και να παραμείνουν σε αυτά.
Δείτε επίσης: Air France και KLM ενημερώνουν για παραβιάσεις λογαριασμών
Σάρωση για ελαττώματα container image
Η Microsoft έχει παρατηρήσει μια αύξηση σε δύο τακτικές που χρησιμοποιούνται από τους χειριστές του Kinsing για την αρχική πρόσβαση σε έναν Linux server – εκμετάλλευση μιας ευπάθειας που υπάρχει σε container images ή λανθασμένα ρυθμισμένους PostgreSQL database servers.
Κατά την αναζήτηση αδυναμιών προς εκμετάλλευση, οι επιτιθέμενοι στοχεύουν σε ευπάθειες απομακρυσμένης εκτέλεσης κώδικα σε image που τους επιτρέπουν να αναπτύσσουν κακόβουλα payload.
Δείτε επίσης: Darknet drug markets: Έχουν μετακινηθεί σε custom Android apps για αυξημένο απόρρητο
Σύμφωνα με τα στοιχεία του Microsoft Defender for Cloud, οι απειλητικοί φορείς προσπαθούν να εκμεταλλευτούν τα κενά ασφαλείας στις ακόλουθες εφαρμογές ως αρχική διέξοδο στα στοχευμένα συστήματα:
- PHPUnit
- Liferay
- Oracle WebLogic
- WordPress
Στις περιπτώσεις WebLogic, οι χάκερ σαρώνουν για CVE-2020-14882, CVE-2020-14750 και CVE-2020-14883, όλα τα ελαττώματα της απομακρυσμένης εκτέλεσης κώδικα που επηρεάζουν το προϊόν της Oracle.
Για να ελαχιστοποιήσετε αυτό το πρόβλημα, πρέπει να χρησιμοποιείτε μόνο τις τελευταίες εκδόσεις των images από επίσημες πηγές ή αξιόπιστους ιστότοπους.
Η Microsoft προτείνει επίσης την ελαχιστοποίηση της πρόσβασης σε εκτεθειμένα container χρησιμοποιώντας λίστες επιτρεπόμενων IP και ακολουθώντας τις αρχές ελάχιστων προνομίων.
Επίθεση PostgreSQL
Η ομάδα ασφαλείας της Microsoft ανακάλυψε μια αύξηση των κακόβουλων παραγόντων που εκμεταλλεύονται ακατάλληλα ρυθμισμένους PostgreSQL servers.
Χρησιμοποιώντας την εσφαλμένη ρύθμιση “trust authentication”, οι επιτιθέμενοι μπορούν εύκολα να αποκτήσουν πρόσβαση στις βάσεις δεδομένων της PostgreSQL, καθώς τους δίνει οδηγίες ότι “κάθε άτομο που είναι σε θέση να συνδεθεί με τον server έχει εξουσιοδοτηθεί να εισέλθει στη βάση δεδομένων του”.
Ένα άλλο συνηθισμένο λάθος είναι η εκχώρηση ενός υπερβολικά μεγάλου εύρους διευθύνσεων IP, το οποίο μπορεί να παρέχει στους χάκερ μια πύλη πρόσβασης στο server. Αυτό το απρόσεκτο σφάλμα μπορεί να αποδειχθεί εξαιρετικά επιζήμιο αν δεν αντιμετωπιστεί σωστά και γρήγορα.
Ακόμα κι αν η διαμόρφωση πρόσβασης IP είναι αυστηρή, η Microsoft λέει ότι το Kubernetes εξακολουθεί να είναι επιρρεπές σε ARP (Address Resolution Protocol) poisoning, επομένως οι εισβολείς θα μπορούσαν να πλαστογραφήσουν εφαρμογές στο cluster για να αποκτήσουν πρόσβαση.
Για να διασφαλίσετε ότι η PostgreSQL έχει ρυθμιστεί σωστά για βέλτιστη ασφάλεια, φροντίστε να ακολουθήσετε τις οδηγίες ασφαλείας του έργου που περιγράφονται στην ιστοσελίδα του και να εφαρμόσετε τα προτεινόμενα μέτρα.
Δείτε επίσης: OnlyFans: Ψεύτικες σελίδες γνωριμιών παραπλανούν τους χρήστες
Τέλος, η Microsoft λέει ότι το Defender for Cloud μπορεί να ανιχνεύσει επιτρεπτές ρυθμίσεις και εσφαλμένες διαμορφώσεις σε PostgreSQL containers και να βοηθήσει τους διαχειριστές να μετριάσουν τους κινδύνους προτού τους εκμεταλλευτούν οι χάκερ.
Για τους διαχειριστές της PostgreSQL των οποίων οι servers μολύνθηκαν με το Kinsing, ο Sreeram Venkitesh του BigBinary έγραψε ένα άρθρο σχετικά με το πώς το κακόβουλο λογισμικό μόλυνε τη συσκευή τους και πώς τελικά την αφαίρεσαν.
Πηγή πληροφοριών: bleepingcomputer.com
