Кампания по вредоносному ПО нацелена на кластеры Kubernetes
11 января 2023 г.Исследователи Microsoft в области кибербезопасности обнаружили всплеск развертывания вредоносного ПО Kinsing на серверах Linux.
Согласно отчет, злоумышленники используют уязвимости Log4Shell и Atlassian Confluence RCE в образах контейнеров и неправильно сконфигурированные открытые контейнеры PostgreSQL для установки криптомайнеров на уязвимые endpoints.
Команда Microsoft Defender for Cloud заявила, что хакеры просматривали эти приложения в поисках уязвимых мест. :
- PHPUnit
- Liferay
- Oracle WebLogic
- WordPress
Что касается самих уязвимостей, они стремились использовать CVE-2020-14882, CVE-2020-14750 и CVE-2020-14883 — уязвимости RCE в решениях Oracle.
«Недавно мы выявили широкомасштабную кампанию Kinsing, нацеленную на уязвимые версии серверов WebLogic», — утверждает Microsoft. «Атаки начинаются со сканирования широкого диапазона IP-адресов в поисках открытого порта, соответствующего порту WebLogic по умолчанию (7001)».
Обновление изображений
В целях безопасности ИТ-руководителям рекомендуется обновлять свои образы до последних версий и получать их только из официальных репозиториев.
Злоумышленники любят размещать майнеры криптовалюты на серверах. Эти удаленные конечные точки обычно обладают высокой вычислительной мощностью, что позволяет хакерам «майнить» большое количество криптовалюты без необходимости использования необходимого оборудования. Более того, они также устраняют высокие затраты на электроэнергию, обычно связанные с майнингом криптовалют.
С другой стороны, жертвам есть что терять. Мало того, что их серверы станут бесполезными (поскольку крипто-майнинг требует больших вычислительных ресурсов), они также будут генерировать высокие счета за электроэнергию. Как правило, количество добытой криптовалюты и затраченного электричества непропорционально велико, что делает все испытание еще более болезненным.
Для команды Microsoft Defender for Cloud две обнаруженные техники «обычно встречаются» в реальных атаках. в кластерах Kubernetes.
«Предоставление доступа к кластеру из Интернета без надлежащих мер безопасности может сделать его уязвимым для атак из внешних источников. Кроме того, злоумышленники могут получить доступ к кластеру, воспользовавшись известными уязвимостями в образах», — сказали в команде.
«Командам безопасности важно знать об открытых контейнерах и уязвимых образах и пытаться смягчить риск до того, как они будут нарушены. Как мы видели в этом блоге, регулярное обновление образов и безопасных конфигураций может изменить правила игры для компании, когда она пытается максимально защититься от нарушений безопасности и рисков».
- Мы также представили лучшее программное обеспечение для управления идентификацией
Через: BleepingComputer
Оригинал