Microsoft: cluster Kubernetes hackerati in una campagna malware tramite PostgreSQL
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 10 Gennaio 2023
Tags: #Microsoft, #sicurezza
Tags: #Microsoft, #sicurezza
Microsoft: cluster Kubernetes hackerati in una campagna malware tramite PostgreSQL
Kubernetes
Il malware Kinsing sta ora violando attivamente i cluster Kubernetes sfruttando i punti deboli noti nelle immagini dei container e nei container PostgreSQL esposti e configurati in modo errato.
Sebbene queste tattiche non siano nuove, il team Defender for Cloud di Microsoft riferisce di aver visto un aumento ultimamente, indicando che gli attori delle minacce stanno cercando attivamente punti di ingresso specifici.
Kinsing è un malware Linux con una storia di targeting per ambienti containerizzati per il mining di criptovalute, utilizzando le risorse hardware del server violato per generare entrate per gli autori delle minacce.
Gli attori delle minacce dietro Kinsing sono noti per sfruttare vulnerabilità note come Log4Shell e, più recentemente, un Atlassian Confluence RCE per violare gli obiettivi e stabilire la persistenza.
Scansione per difetti dell'immagine del contenitore
Microsoft afferma di aver visto un aumento in due metodi utilizzati dagli operatori di Kinsing per ottenere l'accesso iniziale a un server Linux, sfruttando una vulnerabilità nelle immagini del contenitore o nei server di database PostgreSQL configurati in modo errato.
Quando sfruttano le vulnerabilità delle immagini, gli attori delle minacce cercano difetti di esecuzione di codice in modalità remota che consentano loro di spingere i loro payload.
La telemetria di Microsoft Defender per il cloud ha indicato che gli attori delle minacce stanno tentando di sfruttare le vulnerabilità nelle seguenti app per l'accesso iniziale:
Unità PHP
LifeRay
Oracle Web Logic
wordpress
Nei casi WebLogic, gli hacker cercano CVE-2020-14882, CVE-2020-14750 e CVE-2020-14883, tutti difetti di esecuzione di codice remoto che incidono sul prodotto Oracle.
"Recentemente, abbiamo identificato una diffusa campagna di Kinsing che prendeva di mira le versioni vulnerabili dei server WebLogic", si legge in un rapporto del ricercatore di sicurezza Microsoft Sunders Bruskin.
"Gli attacchi iniziano con la scansione di un'ampia gamma di indirizzi IP, alla ricerca di una porta aperta che corrisponda alla porta predefinita di WebLogic (7001)."
Mitigare questo problema è semplice come utilizzare le ultime versioni disponibili delle immagini che desideri distribuire e reperire queste immagini solo da repository ufficiali e posizioni affidabili.
Microsoft suggerisce inoltre di ridurre al minimo l'accesso ai contenitori esposti utilizzando elenchi IP consentiti e seguendo i principi del privilegio minimo.
I due metodi di attacco di Kinsing
I due metodi di attacco di Kinsing (Microsoft)
Attaccare PostgreSQL
Il secondo percorso di attacco iniziale che gli esperti di sicurezza di Microsoft hanno osservato è stato un aumento nel targeting di server PostgreSQL configurati in modo errato.
Uno degli errori di configurazione più comuni sfruttati dagli aggressori è l'impostazione "autenticazione attendibile", che istruisce PostgreSQL a presumere che "chiunque possa connettersi al server sia autorizzato ad accedere al database".
Un altro errore è l'assegnazione di un intervallo di indirizzi IP troppo ampio, incluso qualsiasi indirizzo IP che l'aggressore potrebbe utilizzare per consentire l'accesso al server.
Anche se la configurazione dell'accesso IP è rigorosa, Microsoft afferma che Kubernetes è ancora soggetto all'avvelenamento da ARP (Address Resolution Protocol), quindi gli aggressori potrebbero falsificare le app nel cluster per ottenere l'accesso.
Per mitigare i problemi di configurazione di PostgreSQL, consultare la pagina Web dei consigli sulla sicurezza del progetto e applicare le misure proposte.
Infine, Microsoft afferma che Defender for Cloud può rilevare impostazioni permissive e configurazioni errate sui contenitori PostgreSQL e aiutare gli amministratori a mitigare i rischi prima che gli hacker li sfruttino.
Per gli amministratori di PostgreSQL i cui server sono stati infettati da Kinsing, Sreeram Venkitesh di BigBinary ha scritto un articolo su come il malware ha infettato il loro dispositivo e su come alla fine lo hanno rimosso.