Команда Microsoft Defender for Cloud сообщает, что вредоносное ПО Kinsing активно заражает кластеры Kubernetes, используя уязвимости в образах контейнеров и неправильно сконфигурированные открытые контейнеры PostgreSQL.
Kinsing — это вредоносное ПО для Linux, нацеленное на контейнерные среды для майнинга криптовалюты с использованием аппаратных ресурсов взломанного сервера.
По словам экспертов, хакеры используют 2 метода для получения начального доступа к серверу Linux — использование уязвимости в образах контейнеров и неправильно настроенные серверы баз данных PostgreSQL.
Уязвимости в образах контейнерах
При использовании уязвимостей образов злоумышленники ищут RCE-уязвимости, которые позволяют им доставлять свои полезные нагрузки. Киберпреступники пытаются использовать уязвимости в следующих приложениях для первоначального доступа:
Второй вектор атаки направлен на неправильно сконфигурированные серверы PostgreSQL. Одной из наиболее распространенных неверных настроек, которую используют злоумышленники, является настройка «доверительной аутентификации», которая указывает PostgreSQL предполагать, что «любой, кто может подключиться к серверу, имеет право доступа к базе данных».
Еще одна ошибка заключается в назначении слишком широкого диапазона IP-адресов, включая любой IP-адрес, который злоумышленник может использовать для доступа к серверу. Чтобы устранить проблемы с конфигурацией PostgreSQL, необходимо посетить страницу с рекомендациями по безопасности проекта и применить предлагаемые меры.
Kinsing — это вредоносное ПО для Linux, нацеленное на контейнерные среды для майнинга криптовалюты с использованием аппаратных ресурсов взломанного сервера.
По словам экспертов, хакеры используют 2 метода для получения начального доступа к серверу Linux — использование уязвимости в образах контейнеров и неправильно настроенные серверы баз данных PostgreSQL.
Уязвимости в образах контейнерах
При использовании уязвимостей образов злоумышленники ищут RCE-уязвимости, которые позволяют им доставлять свои полезные нагрузки. Киберпреступники пытаются использовать уязвимости в следующих приложениях для первоначального доступа:
- PHPUnit;
- Liferay;
- Oracle WebLogic;
- WordPress.
Второй вектор атаки направлен на неправильно сконфигурированные серверы PostgreSQL. Одной из наиболее распространенных неверных настроек, которую используют злоумышленники, является настройка «доверительной аутентификации», которая указывает PostgreSQL предполагать, что «любой, кто может подключиться к серверу, имеет право доступа к базе данных».
Еще одна ошибка заключается в назначении слишком широкого диапазона IP-адресов, включая любой IP-адрес, который злоумышленник может использовать для доступа к серверу. Чтобы устранить проблемы с конфигурацией PostgreSQL, необходимо посетить страницу с рекомендациями по безопасности проекта и применить предлагаемые меры.
