Kinsing加密劫持操作背后的威胁行为者被发现利用配置错误和暴露的 PostgreSQL 服务器来获取对 Kubernetes 环境的初始访问权限。
Microsoft Defender for Cloud 的安全研究员桑德斯布鲁斯金上周在一份报告中表示,第二种初始访问向量技术需要使用易受攻击的图像。
Kinsing 以容器化环境为目标有着悠久的历史,经常利用错误配置的开放式 Docker 守护程序 API 端口以及滥用新披露的漏洞来删除加密货币挖掘软件。
过去,除了终止和卸载竞争性资源密集型服务和进程外,还发现威胁行为者使用 Rootkit来隐藏其存在。
现在,根据微软的说法, Kinsing 攻击者利用PostgreSQL 服务器中的错误配置来获得初步立足点,该公司观察到“大量集群”以这种方式被感染。
错误配置与信任身份验证设置有关,如果该选项设置为接受来自任何 IP 地址的连接,则可能会滥用该设置来连接到没有任何身份验证的服务器并实现代码执行。
“一般来说,允许访问范围广泛的 IP 地址会使 PostgreSQL 容器面临潜在威胁,”Bruskin 解释说。
另一种攻击媒介针对具有易受攻击版本的 PHPUnit、Liferay、WebLogic 和 Wordpress 的服务器,这些服务器容易受到远程代码执行的影响,以运行恶意负载。
此外,最近的“广泛活动”涉及攻击者扫描开放的默认 WebLogic 端口 7001,如果找到,则执行 shell 命令以启动恶意软件。
“在没有采取适当安全措施的情况下将集群暴露在互联网上可能会使其容易受到来自外部来源的攻击,”布鲁斯金说。“此外,攻击者可以利用图像中的已知漏洞来访问集群。”
| 设备安全指南:平台指南-Chrome OS |
| 设备安全指南:平台指南-iOS 和 iPadOS |
| 设备安全指南:平台指南-Ubuntu LTS |
| 设备安全指南:平台指南-Windows OS |
| 设备安全指南:平台指南-苹果系统 |
| 设备安全指南:准备 |
| 设备安全指南-防病毒和其他安全软件 |
| 设备安全指南-过期的产品 |
| 设备安全指南-使用生物识别技术 |
| 设备安全指南-在设备上使用第三方应用程序 |
原文始发于微信公众号(河南等级保护测评):Kinsing Crypto恶意软件通过错误配置的PostgreSQL攻击Kubernetes集群
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论