Η συνεχιζόμενη καμπάνια Kubernetes cryptomining, στοχεύει τώρα εφαρμογές OpenMetadata, χρησιμοποιώντας κρίσιμα ελαττώματα απομακρυσμένης εκτέλεσης κώδικα και ελέγχου ταυτότητας.
Δείτε επίσης: Το νέο Migo malware στοχεύει Redis servers για cryptomining
Το OpenMetadata είναι μια πλατφόρμα διαχείρισης μεταδεδομένων ανοιχτού κώδικα που βοηθά τους μηχανικούς δεδομένων και τους επιστήμονες να καταλογοποιήσουν και να ανακαλύψουν στοιχεία δεδομένων εντός του οργανισμού τους, συμπεριλαμβανομένων βάσεων δεδομένων, πινάκων, αρχείων και υπηρεσιών.
Τα τρωτά σημεία ασφαλείας που χρησιμοποιήθηκαν στις επιθέσεις Kubernetes cryptomining, (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 και CVE-2024-28254) επιδιορθώθηκαν πριν από έναν μήνα, τον Μάρτιο, στις εκδόσεις OpenMetadata 1.2.4 και 1.3.1.
Η Microsoft, η οποία εντόπισε για πρώτη φορά τις επιθέσεις Kubernetes cryptomining, λέει ότι τα πέντε ελαττώματα έχουν αξιοποιηθεί ενεργά από τις αρχές Απριλίου για να παραβιάσουν τους ερφαρμογές OpenMetadata που ήταν εκτεθειμένες στο Διαδίκτυο και δεν έχουν επιδιορθωθεί.
«Μόλις εντοπίσουν μια ευάλωτη έκδοση της εφαρμογής, οι εισβολείς εκμεταλλεύονται τα αναφερόμενα τρωτά σημεία για να πραγματοποιήσουν εκτέλεση κώδικα στο κοντέινερ που εκτελεί την ευάλωτη εικόνα OpenMetadata», δήλωσαν οι ερευνητές απειλών της Microsoft, Hagai Ran Kestenberg και Yossi Weizman.
“Μόλις οι εισβολείς επιβεβαιώσουν την πρόσβασή τους και επικυρώσουν τη συνδεσιμότητα, προχωρούν στη λήψη του ωφέλιμου φορτίου, ενός κακόβουλου λογισμικού που σχετίζεται με cryptomining, από έναν απομακρυσμένο διακομιστή.“
Ο διακομιστής που φιλοξενεί τα ωφέλιμα φορτία κακόβουλου λογισμικού περιέχει επίσης πρόσθετο κακόβουλο λογισμικό cryptomining για πλατφόρμες Linux και Windows.
Δείτε ακόμα: RapperBot botnet: Νέα έκδοση με δυνατότητες cryptomining
Οι επιτιθέμενοι του Kubernetes cryptomining θα αφήσουν επίσης ένα σημείωμα για τα παραβιασμένα συστήματα OpenMetadata, ζητώντας από τα θύματα κρυπτονομίσματα Monero για να τους βοηθήσουν να αγοράσουν ένα αυτοκίνητο ή μια «σουίτα» στην Κίνα.
Στο επόμενο στάδιο, αφαιρούν τα αρχικά ωφέλιμα φορτία από την εφαρμογή Kubernetes που έχει παραβιαστεί και δημιουργούν μια σύνδεση reverse shell χρησιμοποιώντας το εργαλείο Netcat. Αυτό τους παρέχει απομακρυσμένη πρόσβαση στο κοντέινερ, επιτρέποντάς τους να αναλάβουν τον έλεγχο του συστήματος.
Επιπλέον, για να διατηρήσουν μόνιμη πρόσβαση, οι εισβολείς χρησιμοποιούν cronjobs για να προγραμματίσουν εργασίες που εκτελούν κακόβουλο κώδικα σε προκαθορισμένα διαστήματα.
Συνιστάται στους διαχειριστές που πρέπει να εκθέσουν τους φόρτους εργασίας OpenMetadata στο Διαδίκτυο να αλλάξουν τα προεπιλεγμένα διαπιστευτήρια και να διασφαλίσουν ότι οι εφαρμογές τους έχουν επιδιορθωθεί για να είναι ασφαλείς από επιθέσεις Kubernetes cryptomining.
Για να λάβετε μια λίστα με όλους τους φόρτους εργασίας OpenMetadata που εκτελούνται στο περιβάλλον Kubernetes, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή:
kubectl πάρει pods –all-namespaces -o=jsonpath='{range .items[]}{.spec.containers[].image}{“\n”}{end}’ | grep ‘openmetadata’
«Αυτή η επίθεση χρησιμεύει ως πολύτιμη υπενθύμιση του γιατί είναι ζωτικής σημασίας να παραμείνετε συμμορφωμένοι και να εκτελείτε πλήρως διορθωμένους φόρτους εργασίας σε περιβάλλοντα με κοντέινερ», κατέληξαν οι Kestenberg και Weizman.
Δείτε επίσης: Ευπάθεια στο Kubernetes επιτρέπει την απομακρυσμένη εκτέλεση κώδικα σε Windows
Πώς μπορεί κάποιος να προστατευτεί από επιθέσεις cryptomining;
Για να προστατευτεί κάποιος από τις επιθέσεις cryptomining, όπως η εκστρατεία Kubernetes εναντίον εφαρμογών OpenMetadata, πρέπει πρώτα να κατανοήσει τη φύση τους. Αυτές οι επιθέσεις εκμεταλλεύονται την επεξεργαστική ισχύ του υπολογιστή του χρήστη για να ‘εξορύξουν’ ψηφιακά νομίσματα χωρίς την άδεια του. Ένας αποτελεσματικός τρόπος για να προστατευτεί κάποιος είναι η χρήση λογισμικού antivirus. Τα περισσότερα από αυτά τα προγράμματα παρέχουν προστασία από cryptomining και μπορούν να ανιχνεύσουν και να απομακρύνουν τέτοιου είδους απειλές. Επίσης, η ενημέρωση του λογισμικού και του λειτουργικού συστήματος είναι ζωτικής σημασίας. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή από νέες απειλές cryptomining. Τέλος, η εκπαίδευση είναι ένας αποφασιστικός παράγοντας. Οι χρήστες πρέπει να γνωρίζουν τις τεχνικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing, και να είναι προσεκτικοί με τα emails και τα μηνύματα που λαμβάνουν.
Πηγή: bleepingcomputer
