Clusters kubernetes hackeados por malware via PostgreSQL

O malware Kinsing está violando ativamente os clusters do Kubernetes, aproveitando pontos fracos conhecidos em imagens de contêineres e contêineres PostgreSQL expostos e mal configurados

O malware Kinsing está violando ativamente os clusters do kubernetes, aproveitando pontos fracos conhecidos em imagens de contêineres e contêineres PostgreSQL expostos e mal configurados. Embora essas táticas não sejam novas, a equipe do Defender for Cloud da Microsoft relata ter constatado um aumento ultimamente, indicando que os operadores de ameaças estão procurando ativamente por pontos de entrada específicos.

O Kinsing é um malware para Linux com histórico de segmentação de ambientes em contêineres para mineração de criptomoedas, usando os recursos de hardware do servidor violado para gerar receita para os operadores de ameaças. Os hackers por trás do Kinsing são conhecidos por explorar vulnerabilidades conhecidas como Log4Shell e, mais recentemente, um Atlassian Confluence RCE para violar alvos e estabelecer persistência.

Verificando falhas na imagem do contêiner

A Microsoft diz que verificou um aumento em dois métodos usados ​​pelos operadores do Kinsing para obter acesso inicial a um servidor Linux — explorando uma vulnerabilidade em imagens de contêiner ou servidores de banco de dados PostgreSQL mal configurados.

Ao explorar vulnerabilidades de imagem, os operadores de ameaças procuram falhas de execução remota de código que lhes permitam enviar suas cargas úteis.

A telemetria do Microsoft Defender for Cloud indicou que os hackers estão tentando explorar vulnerabilidades nos seguintes aplicativos para acesso inicial:

– PHPUnitName
– Liferay
– Oracle WebLogic
– WordPress

Nos casos do WebLogic, os hackers verificam os CVE-2020-14882, CVE-2020-14750 e CVE-2020-14883, todas falhas de execução remota de código que afetam o produto da Oracle. “Recentemente, identificamos uma ampla campanha do Kinsing que visava versões vulneráveis ​​de servidores WebLogic”, diz um relatório do pesquisador de segurança da Microsoft Sunders Bruskin. “Os ataques começam com a varredura de uma ampla gama de endereços IP, procurando por uma porta aberta que corresponda à porta padrão do WebLogic [7001].”

Mitigar esse problema é tão simples quanto usar as versões mais recentes disponíveis das imagens que você deseja implantar e obter essas imagens apenas de repositórios oficiais e locais confiáveis. A Microsoft também sugere minimizar o acesso a contêineres expostos usando listas de permissão de IP e seguindo os princípios de privilégio mínimo.

O segundo caminho de ataque inicial que os especialistas em segurança da Microsoft observaram foi um aumento no direcionamento de servidores PostgreSQL mal configurados. Uma das configurações incorretas mais comuns que os invasores usam é a de ‘autenticação de confiança’, que instrui o PostgreSQL a assumir que “qualquer pessoa que possa se conectar ao servidor está autorizada a acessar o banco de dados”.

Outro erro é atribuir um intervalo de endereços IP muito amplo, incluindo qualquer endereço IP que o invasor possa estar usando para fornecer acesso ao servidor. Mesmo que a configuração de acesso IP seja rígida, a Microsoft diz que o Kubernetes ainda é propenso a envenenamento por ARP (protocolo de resolução de endereços), portanto, os invasores podem falsificar aplicativos no cluster para obter acesso.

Para mitigar problemas de configuração do PostgreSQL, a Microsoft orienta consultar a página de recomendações de segurança do projeto e aplique as medidas propostas. Por fim, a empresa diz que o Defender for Cloud pode detectar configurações permissivas e configurações incorretas em contêineres PostgreSQL e ajudar os administradores a mitigar os riscos antes que os hackers os aproveitem. Com agências de notícias internacionais.

LEIA TAMBÉM: