În cadrul unei campanii continue de criptomonede în Kubernetes, atacatorii vizează sarcinile de lucru OpenMetadata folosind vulnerabilități critice de execuție de cod la distanță și de autentificare.
OpenMetadata este o platformă open-source de gestionare a metadatelor care ajută inginerii și oamenii de știință ai datelor să catalogheze și să descopere activele de date din cadrul organizației lor, inclusiv baze de date, tabele, fișiere și servicii.
Vulnerabilitățile de securitate exploatate în aceste atacuri (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 și CVE-2024-28254) au fost remediate acum o lună, pe 15 martie, în versiunile OpenMedata 1.2.4 și 1.3.1.
Microsoft, care a identificat în primul rând atacurile, afirmă că cele cinci probleme au fost exploatate activ începând cu începutul lunii aprilie pentru a prelua sarcinile de lucru Internet-expuse OpenMedata care nu au fost patch-uite.
„Odată ce identifică o versiune vulnerabilă a aplicației, atacatorii exploatează vulnerabilitățile menționate pentru a obține execuție de cod pe containerul care rulează imaginea OpenMetadata vulnerabilă,” au declarat cercetătorii de inteligență amenințări Microsoft Hagai Ran Kestenberg și Yossi Weizman.
„Odată ce atacatorii își confirmă accesul și validează conectivitatea, ei procedează la descărcarea încărcăturii, un malware legat de criptomonede, de pe un server remote. Am observat atacatorii folosind un server remote situat în China.”
Serverul care găzduiește încărcăturile malware-ului conține, de asemenea, malware-uri suplimentare legate de criptomonede pentru platformele Linux și Windows.
Atacatorii vor lăsa, de asemenea, o notă pe sistemele compromise, cerând victimelor să doneze criptomoneda Monero pentru a-i ajuta să-și cumpere o mașină sau un „suite” în China.
În etapa următoare, ei îndepărtează încărcările inițiale din aplicația Kubernetes preluată și stabilesc o conexiune shell inversă folosind instrumentul Netcat. Acest lucru le acordă acces la distanță la container, permițându-le să preia controlul sistemului.
Mai mult, pentru a menține accesul persistent, atacatorii folosesc cronjobs pentru a programa sarcini care execută coduri malitioase la intervale prestabilite.
Adminii care trebuie să-și expună sarcinile de lucru OpenMedata online sunt sfătuiți să-și schimbe credențialele implicite și să se asigure că aplicațiile lor sunt patch-uite împotriva vulnerabilităților recent divulgate în orice moment.
Pentru a obține o listă a tuturor sarcinilor de lucru OpenMetadata care rulează în mediul dvs. Kubernetes, puteți folosi următoarea comandă:
„Acest atac servește ca un amintire valoroasă a motivului pentru care este crucial să rămâi conform și să rulezi sarcini de lucru complet patch-uite în medii containerizate,” au concluzionat Kestenberg și Weizman.
Leave a Reply