{"id":565870,"date":"2023-01-09T16:53:31","date_gmt":"2023-01-09T16:53:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/kinsing-cryptojacking-golpea-los-clusteres-de-kubernetes-a-traves-de-postgresql-mal-configurado\/"},"modified":"2023-01-09T16:53:32","modified_gmt":"2023-01-09T16:53:32","slug":"kinsing-cryptojacking-golpea-los-clusteres-de-kubernetes-a-traves-de-postgresql-mal-configurado","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/kinsing-cryptojacking-golpea-los-clusteres-de-kubernetes-a-traves-de-postgresql-mal-configurado\/","title":{"rendered":"Kinsing Cryptojacking golpea los cl\u00fasteres de Kubernetes a trav\u00e9s de PostgreSQL mal configurado"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Kubernetes \/ Cryptojacking<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los actores de amenazas detr\u00e1s de la parentesco<\/strong> Se ha detectado una operaci\u00f3n de cryptojacking que explota servidores PostgreSQL mal configurados y expuestos para obtener acceso inicial a los entornos de Kubernetes.<\/p>\n

Una segunda t\u00e9cnica de vector de acceso inicial implica el uso de im\u00e1genes vulnerables, Sunders Bruskin, investigador de seguridad de Microsoft Defender for Cloud, dicho<\/a> en un informe la semana pasada.<\/p>\n

Kinsing tiene una historia hist\u00f3rica de focalizaci\u00f3n entornos en contenedores<\/a>a menudo aprovechando los puertos abiertos de la API del demonio Docker mal configurados, as\u00ed como abusando de los exploits recientemente revelados para eliminar el software de miner\u00eda de criptomonedas.<\/p>\n

El actor de amenazas, en el pasado, tambi\u00e9n ha sido descubierto. empleando un rootkit<\/a> para ocultar su presencia, adem\u00e1s de terminar y desinstalar los servicios y procesos de uso intensivo de recursos de la competencia.<\/p>\n

Ahora, seg\u00fan Microsoft, las configuraciones incorrectas en Servidores PostgreSQL<\/a> han sido cooptados por el actor de Kinsing para ganar un punto de apoyo inicial, y la compa\u00f1\u00eda observ\u00f3 una “gran cantidad de grupos” infectados de esta manera.<\/p>\n

\"Kinsing<\/div>\n

La mala configuraci\u00f3n se relaciona con un configuraci\u00f3n de autenticaci\u00f3n de confianza<\/a>que podr\u00eda abusarse para conectarse a los servidores sin ninguna autenticaci\u00f3n y lograr la ejecuci\u00f3n del c\u00f3digo si la opci\u00f3n se configura para aceptar conexiones desde cualquier direcci\u00f3n IP.<\/p>\n

“En general, permitir el acceso a una amplia gama de direcciones IP expone el contenedor de PostgreSQL a una amenaza potencial”, explic\u00f3 Bruskin.<\/p>\n

El vector de ataque alternativo se dirige a servidores con versiones vulnerables de PHPUnit, Liferay, WebLogic y WordPress que son susceptibles a la ejecuci\u00f3n remota de c\u00f3digo para ejecutar cargas maliciosas.<\/p>\n

Es m\u00e1s, una “campa\u00f1a generalizada” reciente involucr\u00f3 a los atacantes buscando puerto WebLogic predeterminado 7001<\/a>y, si lo encuentra, ejecutar un comando de shell para iniciar el malware.<\/p>\n

“Exponer el cl\u00faster a Internet sin las medidas de seguridad adecuadas puede dejarlo abierto a ataques de fuentes externas”, dijo Bruskin. “Adem\u00e1s, los atacantes pueden obtener acceso al cl\u00faster aprovechando las vulnerabilidades conocidas en las im\u00e1genes”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n