Kinsing Cryptojacking Hits Kubernetes Clusters via Misconfigured PostgreSQL
2023/01/09 TheHackerNews — Kinsing クリプト・ジャッキングを操る脅威アクターは、Kubernetes 環境へのイニシャル・アクセスを得るために、露出した PostgreSQL サーバのミスコンフィグレーションを悪用しているという。Microsoft Defender for Cloud のセキュリティ研究者である Sunders Bruskin は、先週のレポートで、「2番目のイニシャル・アクセス・ベクターの手法には、脆弱なイメージの悪用も含まれる」と述べている。
Kinsing には、コンテナ環境を標的としてきた歴史的な経緯があり、誤った設定のオープン Docker daemon API や、新たに公開されたエクスプロイトを悪用することで、暗号通貨マイニング・ソフトウェアをドロップしてきた。
また、この脅威アクターは、競合するリソース集約型のサービス/プロセスの終了/アンインストールに加えて、自身の存在を隠すための rootkit を使用していることも、過去に確認されている。
Microsoft によると、PostgreSQL サーバのミスコンフィグレーションが Kinsing に悪用され、この方式によるクラスタの大量感染が確認されたとのことだ。
このミスコンフィグレーションは、信頼認証の設定に関連している。したがって、この誤ったコンフィグレーションを悪用して、任意の IP アドレスからの接続を受け入れるように設定すると、認証なしでサーバに接続し、コードを実行させることが可能になる。Bruskin は、「一般的に、幅広い IP アドレスへのアクセスを許可することは、PostgreSQL コンテナを潜在的な脅威にさらすことになるり」と説明している。
悪意のペイロードを実行するための代替攻撃ベクターは、リモートコード実行を許す可能性のある、PHPUnit/Liferay/WebLogic/WordPress の脆弱なバージョンを持つサーバをターゲットするものだ。
さらに、最近の広範なキャンペーンにおいて攻撃者は、デフォルトの WebLogic ポート 7001 をスキャンし、見つかった場合には、マルウェアを起動するためのシェルコマンドを実行しているようだ。
Bruskin は、「適切なセキュリティ対策を施さずに、クラスタをインターネットに公開すると、外部からの攻撃にさらされる可能性がある。さらに攻撃者は、対象となるイメージに存在する既知の脆弱性を悪用して、クラスタにアクセスしていく」と指摘している。
PostgreSQL に関連するトピックを検索したところ、2022年4月12日の「Amazon RDS の脆弱性:PostgreSQL エクステンションの情報漏えいの問題が FIX」と、4月28日の「Microsoft Azure Database for PostgreSQL における深刻な脆弱性が FIX」が見つかりました。なお、Kinsing に関しては、6月8日の「Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害」に登場していました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.