Los actores de amenazas detrás de la parentesco Se ha detectado una operación de cryptojacking que explota servidores PostgreSQL mal configurados y expuestos para obtener acceso inicial a los entornos de Kubernetes.
Una segunda técnica de vector de acceso inicial implica el uso de imágenes vulnerables, Sunders Bruskin, investigador de seguridad de Microsoft Defender for Cloud, dicho en un informe la semana pasada.
Kinsing tiene una historia histórica de focalización entornos en contenedoresa menudo aprovechando los puertos abiertos de la API del demonio Docker mal configurados, así como abusando de los exploits recientemente revelados para eliminar el software de minería de criptomonedas.
El actor de amenazas, en el pasado, también ha sido descubierto. empleando un rootkit para ocultar su presencia, además de terminar y desinstalar los servicios y procesos de uso intensivo de recursos de la competencia.
Ahora, según Microsoft, las configuraciones incorrectas en Servidores PostgreSQL han sido cooptados por el actor de Kinsing para ganar un punto de apoyo inicial, y la compañía observó una «gran cantidad de grupos» infectados de esta manera.
La mala configuración se relaciona con un configuración de autenticación de confianzaque podría abusarse para conectarse a los servidores sin ninguna autenticación y lograr la ejecución del código si la opción se configura para aceptar conexiones desde cualquier dirección IP.
«En general, permitir el acceso a una amplia gama de direcciones IP expone el contenedor de PostgreSQL a una amenaza potencial», explicó Bruskin.
El vector de ataque alternativo se dirige a servidores con versiones vulnerables de PHPUnit, Liferay, WebLogic y WordPress que son susceptibles a la ejecución remota de código para ejecutar cargas maliciosas.
Es más, una «campaña generalizada» reciente involucró a los atacantes buscando puerto WebLogic predeterminado 7001y, si lo encuentra, ejecutar un comando de shell para iniciar el malware.
«Exponer el clúster a Internet sin las medidas de seguridad adecuadas puede dejarlo abierto a ataques de fuentes externas», dijo Bruskin. «Además, los atacantes pueden obtener acceso al clúster aprovechando las vulnerabilidades conocidas en las imágenes».