Microsoft: кластеры Kubernetes взломаны в ходе вредоносной кампании

Команда Microsoft Defender for Cloud сообщает , что вредоносное ПО Kinsing активно заражает кластеры Kubernetes, используя уязвимости в образах контейнеров и неправильно сконфигурированные открытые контейнеры PostgreSQL.

Kinsing — это вредоносное ПО для Linux, нацеленное на контейнерные среды для майнинга криптовалюты с использованием аппаратных ресурсов взломанного сервера.

По словам экспертов, хакеры используют 2 метода для получения начального доступа к серверу Linux — использование уязвимости в образах контейнеров и неправильно настроенные серверы баз данных PostgreSQL.

Уязвимости в образах контейнерах

При использовании уязвимостей образов злоумышленники ищут RCE-уязвимости, которые позволяют им доставлять свои полезные нагрузки. Киберпреступники пытаются использовать уязвимости в следующих приложениях для первоначального доступа:

• PHPUnit;
• Liferay;
• Oracle WebLogic ;
• WordPress.

Два метода атаки Kinsing

Атака на PostgreSQL

Второй вектор атаки направлен на неправильно сконфигурированные серверы PostgreSQL. Одной из наиболее распространенных неверных настроек, которую используют злоумышленники, является настройка «доверительной аутентификации», которая указывает PostgreSQL предполагать, что «любой, кто может подключиться к серверу, имеет право доступа к базе данных».

Еще одна ошибка заключается в назначении слишком широкого диапазона IP-адресов, включая любой IP-адрес, который злоумышленник может использовать для доступа к серверу. Чтобы устранить проблемы с конфигурацией PostgreSQL, необходимо посетить страницу с рекомендациями по безопасности проекта и применить предлагаемые меры.