Kinsing恶意软件通过错误配置的PostgreSQL针对Kubernetes环境

Microsoft Defender for Cloud的研究人员观察到Kinsing加密劫持操作背后的威胁行为者使用两种方法在Kubernetes环境中获得初始访问权限：利用弱配置的PostgreSQL容器和利用易受攻击的图像。

加密矿工 Kinsing 于 2020 年 4 月首次被安全公司 Aqua Security 发现，当时专家们发现威胁行为者扫描互联网以查找运行 API 端口的 Docker 服务器，而无需密码。Kinsing 恶意软件滥用 Docker 安装的资源来挖掘加密货币。

最近，微软研究人员观察到大量集群运行了一个感染了Kinsing恶意软件的PostgreSQL容器。专家指出，威胁行为者可以利用多个错误配置来访问暴露的Postgres服务器。

第一个错误配置与使用“信任身份验证”设置有关，攻击者可以滥用它连接到 Postgres 服务器而无需身份验证，并可能实现代码执行。

“要在特定的IP地址上分配信任配置，需要编辑pg_hba.conf文件，并添加以下行：”
托管所有[IP_Address/范围]信任“
在某些情况下，此范围比应有的范围更宽，甚至接受来自任何IP地址的连接（即0.0.0.0/0）。在这种配置中，攻击者可以在没有身份验证的情况下自由连接到Postgres服务器，这可能会导致代码执行。阅读微软发布的帖子。 “此外，Kubernetes 中的某些网络配置容易出现 ARP 中毒，允许攻击者冒充集群中的应用程序。

研究人员解释说，可以通过多种方式修改PostgreSQL容器的配置，例如直接编辑pg_hba.conf文件或设置将修改文件的环境变量（POSTGRES_HOST_AUTH_METHOD变量）。允许访问广泛的IP地址会使PostgreSQL容器面临潜在威胁。

研究人员还观察到另一种攻击媒介可以访问Kubernetes环境，攻击者利用图像中的漏洞。

在此活动中被利用的一些具有易受攻击版本的应用程序是PHPUnit，Liferay，WebLogic和WordPress。“在没有适当安全措施的情况下将集群暴露在互联网上可能会使其容易受到来自外部来源的攻击。此外，攻击者可以通过利用图像中的已知漏洞来访问集群。“对于安全团队来说，重要的是要了解暴露的容器和易受攻击的图像，并尝试在它们被破坏之前降低风险。

原文始发于微信公众号（黑猫安全）：Kinsing恶意软件通过错误配置的PostgreSQL针对Kubernetes环境