Devam eden bir Kubernetes kriptominasyon kampanyasında, saldırganlar kritik uzaktan kumanda yürütme ve kimlik doğrulama güvenlik açıklarını kullanarak OpenMetadata iş yüklerini hedefliyor.
OpenMetadata, veri mühendislerinin ve bilim adamlarının veritabanları, tablolar, dosyalar ve hizmetler dahil olmak üzere kuruluşlarında veri varlıklarını kataloglamalarına ve keşfetmelerine yardımcı olan açık kaynaklı bir meta veri yönetim platformudur.
Bu saldırılarda sömürülen güvenlik açıkları (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 ve CVE-2024-28254), bir ay önce 15 Mart'ta yamalandı. OpenMedata Sürümleri 1.2.4 ve 1.3.1.
Saldırıları ilk gören Microsoft, beş kusurun Nisan ayı başından beri internete maruz kalan OpenMedata iş yüklerini ele geçirmesi için aktif olarak sömürüldüğünü söylüyor.
Microsoft tehdidi Intel araştırmacıları Kessi Weizman, "Uygulamanın savunmasız bir versiyonunu belirledikten sonra saldırganlar, savunmasız OpenMetadata görüntüsünü çalıştıran konteynerde kod yürütme kazanmak için belirtilen güvenlik açıklarından yararlanıyorlar." Dedi.
"Saldırganlar erişimlerini onayladıktan ve bağlantılarını doğruladıktan sonra, bir uzak sunucudan kriptominasyonla ilgili bir kötü amaçlı yazılım olan yükü indirmeye devam ediyorlar. Saldırganları Çin'de bulunan uzak bir sunucu kullanarak gözlemledik."
Kötü amaçlı yazılım yüklerini barındıran sunucu ayrıca hem Linux hem de Windows platformları için ek kriptominasyon kötü amaçlı yazılım içerir.
Saldırganlar ayrıca, kurbanlardan Çin'de bir araba veya "süit" almalarına yardımcı olmak için Monero kripto para birimini bağışlamalarını isteyerek tehlikeye atılmış sistemler hakkında bir not bırakacaklar.
Bir sonraki aşamada, ilk yükleri kaçırılmış Kubernetes uygulamasından kaldırırlar ve NetCAT aracını kullanarak bir ters kabuk bağlantısı kurarlar. Bu, konteynere uzaktan erişim sağlar ve sistemin kontrolünü ele geçirmelerine izin verir.
Ayrıca, kalıcı erişimi sürdürmek için saldırganlar, önceden belirlenmiş aralıklarla kötü amaçlı kod yürütme görevlerini planlamak için cronjobs kullanırlar.
OpenMedata iş yüklerini çevrimiçi olarak ortaya çıkarması gereken yöneticilerin varsayılan kimlik bilgilerini değiştirmeleri ve uygulamalarının her zaman açıklanan güvenlik açıklarına karşı yamalı olmasını sağlamaları tavsiye edilir.
Kubernetes ortamınızda çalışan tüm OpenMetadata iş yüklerinin bir listesini almak için aşağıdaki komutu kullanabilirsiniz:
Kestenberg ve Weizman, "Bu saldırı, uyumlu kalmanın ve kapsayıcı ortamlarda tamamen yamalı iş yükleri çalıştırmanın neden çok önemli olduğunu hatırlatıyor."
Yeni Kritik TeamCity Auth Bypass hatası için kullanılabilir istismar, şimdi yama
Palo Alto Networks Backdoor Güvenlik Duvarlarına Sökülen Zero Day'i düzeltiyor
92.000 D-Link NAS cihazında kritik RCE hatası artık saldırılarda sömürüldü
Ivanti, RCE, DOS saldırılarına izin veren VPN ağ geçidi güvenlik açığını düzeltir
Yeni Ivanti RCE Kususu, 16.000 açıkta kalan VPN ağ geçitlerini etkileyebilir
Kaynak: Bleeping Computer