黑客利用 OpenMetadata 漏洞在 Kubernetes 上挖掘加密货币

OpenMetadata简介

OpenMetadata 是一个开源平台，可作为元数据管理工具运行，为数据资产发现、可观测性和治理提供统一的解决方案。 Microsoft 威胁情报团队四月份表示，攻击者利用 OpenMetadata 中的关键漏洞，获取对 Kubernetes 的未经授权的访问，利用它们进行加密货币挖掘活动。并且该漏洞已被武器化利用。

相关漏洞说明

下面列出了有关问题的漏洞

成功利用这些漏洞可以验证并实现远程代码执行。CVE-2024-28847（CVSS 评分：8.8） - PUT /api/v1/events/subscriptions 中的 Spring Expression Language （SpEL） 注入漏洞（已在版本 1.2.4 中修复）CVE-2024-28848（CVSS 评分：8.8） - GET /api/v1/policies/validation/condition/<expr> 中的 SpEL 注入漏洞（已在版本 1.2.4 中修复）CVE-2024-28253（CVSS 评分：8.8） - PUT /api/v1/policies 中的 SpEL 注入漏洞（已在版本 1.3.1 中修复）CVE-2024-28254（CVSS 评分：8.8） - GET /api/v1/events/subscriptions/validation/condition/<expr> 中的 SpEL 注入漏洞（已在版本 1.2.4 中修复）CVE-2024-28255（CVSS 评分：9.8） - 身份验证绕过漏洞（已在版本 1.2.4 中修复）

入侵手段

攻击者需要针对未修补的互联网公开的 OpenMetadata 工作负载，在其运行 OpenMetadata 映像的容器上执行代码。

在这次特定攻击中，攻击者向以 oast结尾的域发送 ping 请求，与 Interactsh 相关联，Interactsh 是一种用于检测带外交互的开源工具。

攻击者通过建立命令和控制（C2）通信并部署额外的有效载荷。从渗透系统到攻击者控制的基础设施的网络连接。

攻击的最终目标是从位于中国的远程服务器检索和部署加密挖掘恶意软件的 Windows 或 Linux 变体，具体取决于操作系统。一旦启动矿工，初始有效负载就会从工作负载中删除，攻击者使用 Netcat 工具为其远程服务器启动反向 shell，允许他们征用系统。持久性是通过设置 cron 按照预定义的时间间隔运行恶意代码来实现的。

修复措施

建议 OpenMetadata 用户切换到强身份验证方法，避免使用默认凭据，并将镜像更新到最新版本。