{"id":716142,"date":"2023-04-21T15:38:34","date_gmt":"2023-04-21T15:38:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/kubernetes-rbac-explotado-en-una-campana-a-gran-escala-para-la-mineria-de-criptomonedas\/"},"modified":"2023-04-21T15:38:37","modified_gmt":"2023-04-21T15:38:37","slug":"kubernetes-rbac-explotado-en-una-campana-a-gran-escala-para-la-mineria-de-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/kubernetes-rbac-explotado-en-una-campana-a-gran-escala-para-la-mineria-de-criptomonedas\/","title":{"rendered":"Kubernetes RBAC explotado en una campa\u00f1a a gran escala para la miner\u00eda de criptomonedas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>21 de abril de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Kubernetes \/ Criptomoneda<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Una campa\u00f1a de ataque a gran escala descubierta en la naturaleza ha estado explotando el control de acceso basado en roles de Kubernetes (K8s) (RBAC<\/a>) para crear puertas traseras y ejecutar mineros de criptomonedas.<\/p>\n

“Los atacantes tambi\u00e9n desplegaron DaemonSets para hacerse cargo y secuestrar los recursos de los cl\u00fasteres K8 que atacan”, dijo la empresa de seguridad en la nube Aqua en un comunicado. informe<\/a> compartido con The Hacker News. La compa\u00f1\u00eda israel\u00ed, que denomin\u00f3 el ataque Destructor de RBAC<\/strong>dijo que encontr\u00f3 60 cl\u00fasteres K8 expuestos que han sido explotados por el actor de amenazas detr\u00e1s de esta campa\u00f1a.<\/p>\n

La cadena de ataque comenz\u00f3 cuando el atacante obtuvo acceso inicial a trav\u00e9s de un servidor API mal configurado, seguido de la verificaci\u00f3n de evidencia de malware minero de la competencia en el servidor comprometido y luego usando RBAC para configurar la persistencia.<\/p>\n

“El atacante cre\u00f3 un nuevo ClusterRole con privilegios cercanos al nivel de administrador”, dijo la compa\u00f1\u00eda. “A continuaci\u00f3n, el atacante cre\u00f3 un ‘ServiceAccount’, ‘kube-controller’ en el espacio de nombres ‘kube-system’. Por \u00faltimo, el atacante cre\u00f3 un ‘ClusterRoleBinding’, vinculando ClusterRole con ServiceAccount para crear una persistencia s\u00f3lida y discreta”.<\/p>\n

En la intrusi\u00f3n observada contra sus honeypots K8, el atacante intent\u00f3 armar las claves de acceso de AWS expuestas para obtener un punto de apoyo en el entorno, robar datos y escapar de los confines del cl\u00faster.<\/p>\n

\"RBAC<\/div>\n

El paso final del ataque implic\u00f3 que el actor de amenazas creara un DaemonSet para implementar una imagen de contenedor alojada en Docker (“kuberntesio\/kube-controller:1.0.1”) en todos los nodos. El contenedor, que ha sido extra\u00eddo 14 399 veces desde que se carg\u00f3 hace cinco meses, alberga un minero de criptomonedas.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n

Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

“La imagen del contenedor llamada ‘kuberntesio\/kube-controller’ es un caso de error tipogr\u00e1fico que se hace pasar por la cuenta leg\u00edtima de ‘kubernetesio'”, dijo Aqua. “La imagen tambi\u00e9n imita la popular imagen de contenedor ‘kube-controller-manager’, que es un componente cr\u00edtico del plano de control, que se ejecuta dentro de un Pod en cada nodo maestro, responsable de detectar y responder a las fallas de los nodos”.<\/p>\n

Curiosamente, algunas de las t\u00e1cticas descritas en la campa\u00f1a tienen similitudes con otra operaci\u00f3n il\u00edcita de miner\u00eda de criptomonedas que tambi\u00e9n aprovech\u00f3 DaemonSets para acu\u00f1ar Dero y Monero. Actualmente no est\u00e1 claro si los dos conjuntos de ataques est\u00e1n relacionados.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n