Dans une campagne de cryptomining Kubernetes en cours, les attaquants ciblent les charges de travail OpenMetadata en utilisant des vulnérabilités critiques d’exécution de code à distance et d’authentification.

OpenMetadata est une plate-forme de gestion des métadonnées open source qui aide les ingénieurs et les scientifiques des données à cataloguer et à découvrir les actifs de données au sein de leur organisation, y compris les bases de données, les tables, les fichiers et les services.

Les failles de sécurité exploitées dans ces attaques (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 et CVE-2024-28254) ont été corrigées il y a un mois, le 15 mars, dans les versions 1.2.4 et 1.3.1 d’OpenMedata.

Microsoft, qui a repéré les attaques pour la première fois, affirme que les cinq failles ont été activement exploitées depuis début avril pour détourner des charges de travail OpenMedata exposées à Internet et non corrigées.

« Une fois qu’ils ont identifié une version vulnérable de l’application, les attaquants exploitent les vulnérabilités mentionnées pour obtenir l’exécution de code sur le conteneur exécutant l’image OpenMetadata vulnérable », ont déclaré Hagai Ran Kestenberg et Yossi Weizman, chercheurs de Microsoft threat Intel.

« Une fois que les attaquants ont confirmé leur accès et validé la connectivité, ils procèdent au téléchargement de la charge utile, un logiciel malveillant lié au minage de chiffrement, à partir d’un serveur distant. Nous avons observé les attaquants utiliser un serveur distant situé en Chine. »

Le serveur hébergeant les charges utiles de logiciels malveillants contient également des logiciels malveillants de minage de chiffrement supplémentaires pour les plates-formes Linux et Windows.

Les attaquants laisseront également une note sur les systèmes compromis, demandant aux victimes de faire don de la crypto-monnaie Monero pour les aider à acheter une voiture ou une « suite » en Chine.

Note laissée sur les serveurs violés

​À l’étape suivante, ils suppriment les charges utiles initiales de l’application Kubernetes piratée et établissent une connexion shell inversée à l’aide de l’outil Netcat. Cela leur accorde un accès à distance au conteneur, leur permettant de prendre le contrôle du système.

De plus, pour maintenir un accès persistant, les attaquants utilisent des tâches cron pour planifier des tâches exécutant du code malveillant à des intervalles prédéterminés.

Il est conseillé aux administrateurs qui doivent exposer leurs charges de travail OpenMedata en ligne de modifier les informations d’identification par défaut et de s’assurer que leurs applications sont corrigées à tout moment contre les vulnérabilités récemment divulguées.

Pour obtenir une liste de toutes les charges de travail OpenMetadata exécutées dans votre environnement Kubernetes, vous pouvez utiliser la commande suivante:

kubectl récupère les pods –tous les espaces de noms-o=jsonpath= ‘ {plage .éléments []} {.spéc.conteneurs [].image} {« \n »} {fin} | / grep ‘données ouvertes’
« Cette attaque est un rappel précieux des raisons pour lesquelles il est crucial de rester conforme et d’exécuter des charges de travail entièrement corrigées dans des environnements conteneurisés », ont conclu Kestenberg et Weizman.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *