Les acteurs de la menace à l’origine de l’opération de cryptojacking de Kinsing ont été repérés en train d’exploiter des serveurs PostgreSQL mal configurés et exposés pour obtenir un accès initial aux environnements Kubernetes.
Une deuxième technique de vecteur d’accès initial implique l’utilisation d’images vulnérables, a déclaré Sunders Bruskin, chercheur en sécurité chez Microsoft Defender for Cloud, dans un rapport la semaine dernière.
Kinsing a une longue histoire de ciblage d’environnements conteneurisés, exploitant souvent des ports d’API de démon Docker ouverts mal configurés et abusant d’exploits récemment divulgués pour abandonner le logiciel d’extraction de crypto-monnaie.
Dans le passé, l’acteur menaçant a également été découvert en train d’employer un rootkit pour masquer sa présence, en plus de mettre fin et de désinstaller des services et processus concurrents gourmands en ressources.
Désormais, selon Microsoft, les erreurs de configuration des serveurs PostgreSQL ont été cooptées par l’acteur de Kinsing pour prendre un premier pied, la société observant une « grande quantité de clusters » infectés de cette manière.
La mauvaise configuration est liée à un paramètre d’authentification de confiance, qui pourrait être utilisé de manière abusive pour se connecter aux serveurs sans aucune authentification et réaliser l’exécution de code si l’option est configurée pour accepter les connexions à partir de n’importe quelle adresse IP.
« En général, autoriser l’accès à une large gamme d’adresses IP expose le conteneur PostgreSQL à une menace potentielle », a expliqué Bruskin.
Le vecteur d’attaque alternatif cible les serveurs avec des versions vulnérables de PHPUnit, Liferay, WebLogic et WordPress qui sont sensibles à l’exécution de code à distance afin d’exécuter des charges utiles malveillantes.
De plus, une récente « campagne généralisée » impliquait que les attaquants recherchent le port 7001 ouvert par défaut de WebLogic et, s’ils le trouvaient, exécutaient une commande shell pour lancer le logiciel malveillant.
« Exposer le cluster à Internet sans mesures de sécurité appropriées peut le rendre vulnérable aux attaques de sources externes », a déclaré Bruskin. « De plus, les attaquants peuvent accéder au cluster en tirant parti des vulnérabilités connues dans les images. »