Команда Microsoft Defender for Cloud сообщает , что вредоносное ПО Kinsing активно заражает кластеры Kubernetes, используя уязвимости в образах контейнеров и неправильно сконфигурированные открытые контейнеры PostgreSQL.
Kinsing
— это вредоносное ПО для Linux — это Unix-подобная операционная система (ОС) с открытым исходным кодом, разработанная сообществом для компьютеров, серверов, мейнфреймов, мобильных устройств и встроенных устройств. Linux поддерживается почти на всех основных компьютерных платформах, включая x86, ARM и SPARC , что делает его одной из наиболее широко поддерживаемых операционных систем.
» data-html=»true» data-original-title=»Linux»>Linux, нацеленное на контейнерные среды для майнинга криптовалюты с использованием аппаратных ресурсов взломанного сервера.
По словам экспертов, хакеры используют 2 метода для получения начального доступа к серверу Linux — использование уязвимости в образах контейнеров и неправильно настроенные серверы баз данных PostgreSQL.
Уязвимости в образах контейнерах
При использовании уязвимостей образов злоумышленники ищут Remote Code Execution (RCE) — удаленное выполнение кода — опасная уязвимость, которая позволяет дистанционно запустить вредоносный код в целевой системе по локальной сети или через Интернет. При этом физический доступ к устройству не требуется.
В результате эксплуатации RCE-уязвимости киберпреступник может перехватить управление системой или ее отдельными компонентами, а также украсть конфиденциальные данные.
» data-html=»true» data-original-title=»RCE»>RCE-уязвимости, которые позволяют им доставлять свои полезные нагрузки. Киберпреступники пытаются использовать уязвимости в следующих приложениях для первоначального доступа:
- PHPUnit;
- Liferay;
- Oracle WebLogic ;
- WordPress.
Два метода атаки Kinsing
Атака на PostgreSQL
Второй вектор атаки направлен на неправильно сконфигурированные серверы PostgreSQL. Одной из наиболее распространенных неверных настроек, которую используют злоумышленники, является настройка «доверительной аутентификации», которая указывает PostgreSQL предполагать, что «любой, кто может подключиться к серверу, имеет право доступа к базе данных».
Еще одна ошибка заключается в назначении слишком широкого диапазона IP-адресов, включая любой IP-адрес, который злоумышленник может использовать для доступа к серверу. Чтобы устранить проблемы с конфигурацией PostgreSQL, необходимо посетить страницу с рекомендациями по безопасности проекта и применить предлагаемые меры.