Kinsing, Kapsayıcılar, PostgreSQL Aracılığıyla Kubernet’leri Hedefliyor



Kripto para madenciliği için genellikle Linux ortamlarını hedefleyen bir kötü amaçlı yazılım, yeni bir hedef buldu: Microsoft’un bulduğuna göre, ilk erişim için istismar edilebilecek Kubernetes’teki zayıf yapılandırılmış PostgreSQL kapsayıcıları ve savunmasız görüntüler.

Kinsing, en çok Linux ortamlarını hedeflemesiyle tanınan Golang tabanlı bir kötü amaçlı yazılımdır, ancak Microsoft güvenlik araştırmacısı Sunders Bruskin, yakın zamanda yayınlanan bir raporda Microsoft araştırmacılarının yakın zamanda Kinsing kötü amaçlı yazılımının taktiklerini geliştirdiğini gözlemlediğini söyledi.

Bu arada Kubernetes, temel olarak uygun maliyetli olması, otomatik ölçeklendirme sunması ve herhangi bir altyapı üzerinde çalışabilmesi nedeniyle kurumsal uygulama dağıtımını yönetmek için standart açık kaynak aracı haline geldi. Gerçekten de, BT liderlerinin %85’i Kubernetes’in bulutta yerel stratejiler için “son derece önemli” olduğunu düşünüyor.

Kinsing’in Kubernetes kümelerinden yararlanmanın yeni yollarını bulmaya başlayacağı, özellikle de bulutun kendisi gibi Kubernetes’in güvenliğini sağlamanın çok zor olduğu için, kötü amaçlı yazılım için markadır. Saldırganlar, Kubernetes’te, İnternet’te ifşa olan 380.000’den fazla açık Kubernetes API sunucusunun keşfedilmesi de dahil olmak üzere, yönetim platformunu kullanan bulut ortamlarında açık sezon olmasını sağlayan çok sayıda delik buldu. Tehdit aktörleri, daha fazla kötü amaçlı saldırı başlatmak için güvenliği ihlal edilmiş Kubernetes kümelerini bile kullanıyor.

Bruskin, gönderisinde “Kümenin uygun güvenlik önlemleri olmadan İnternet’e ifşa edilmesi, onu dış kaynaklardan gelen saldırılara açık bırakabilir.”

Savunmasız Kapsayıcı Görüntülerini Hedefleme

Araştırmacılar, Kinsing’in Kubernetes ortamlarını hedeflemesinin yeni yollarından birinin, uzaktan kod yürütmeye (RCE) açık olan görüntüleri hedeflemek olduğunu buldu. Bu, ağ erişimi olan saldırganların kapsayıcıdan yararlanmalarına ve kötü amaçlı yüklerini çalıştırmalarına olanak tanır, dediler.

Bruskin, Microsoft araştırmacılarının gözlemlerinde PHPUnit, Liferay, Oracle WebLogic ve WordPress dahil olmak üzere Kinsing kötü amaçlı yazılımının sıklıkla bulaştığı birkaç uygulama görüntüsü gözlemlediğini yazdı.

Oracle’ın 2020’de ortaya çıkardığı WebLogic’teki bir dizi yüksek önem dereceli güvenlik açığı – CVE-2020-14882, CVE-2020-14750 ve CVE-2020-14883 – yamalı WebLogic’in peşinden giden Kinsing kötü amaçlı yazılımını kullanan saldırganların belirli hedefleri haline geldi sunucu görüntüleri, araştırmacılar söyledi.

Bruskin, saldırıların WebLogic varsayılan bağlantı noktasıyla (7001) eşleşen açık bir bağlantı noktası arayarak çok çeşitli IP adreslerinin taranmasıyla başladığını açıkladı.

Kötü amaçlı bir komut kullanarak, “Savunmasızsa, saldırganlar kötü amaçlı yüklerini çalıştırmak için açıklardan birini kullanabilir (bu durumda Kinsing),” diye yazdı.

Pozisyonda PostgreSQL

Microsoft araştırmacıları ayrıca yakın zamanda Kinsing bulaşmış PostgreSQL kapsayıcılarını çalıştıran önemli miktarda Kubernetes kümesi gözlemledi. Enfeksiyonları, bu sunucuları açığa çıkaran birkaç yaygın yanlış yapılandırmayı hedefleyen saldırganlara bağladılar.

Birincisi, bu kapsayıcıları yapılandırmak için “güven doğrulaması” ayarını kullanmaktır; bu, PostgreSQL’in, sunucuya bağlanabilen herkesin, belirttiği veritabanı kullanıcı adıyla veritabanına erişmeye yetkili olduğunu varsayacağı anlamına gelir.
Bruskin gönderisinde, “Ancak, bazı durumlarda, bu aralık olması gerekenden daha geniştir ve hatta herhangi bir IP adresinden (yani 0.0.0.0/0) gelen bağlantıları kabul eder.” “Bu tür yapılandırmalarda, saldırganlar kimlik doğrulaması olmadan PostgreSQL sunucularına serbestçe bağlanabilir, bu da kod yürütülmesine neden olabilir.”

Kubernetes’teki bazı ağ yapılandırmaları, saldırganların kümedeki uygulamaları taklit etmesine olanak tanıyan Adres Çözümleme Protokolü (ARP) zehirlenmesine de yatkındır. Araştırmacılar, bunun “güven” yapılandırmasında özel bir IP adresi belirtmenin bile bir güvenlik riski oluşturabileceği anlamına geldiğini söyledi. ARP, dinamik bir IP adresini fiziksel bir makinenin MAC adresine bağlama işlemidir.

Bruskin, genel bir kural olarak, bir PostgreSQL kapsayıcısını çok çeşitli IP adreslerine erişime izin verecek şekilde yapılandırmanın onu potansiyel bir tehdide maruz bıraktığı konusunda uyardı.

Yöneticiler bunu güvenli olmayan bir “güven kimlik doğrulaması” yöntemi kullanarak yapılandırmasa bile, saldırganlar PostgreSQL hesaplarına kaba kuvvet uygulayabilir, kabın kullanılabilirliği konusunda hizmet reddi (DoS) veya dağıtılmış DoS (DDoS) saldırganları kullanabilir veya kapsayıcıdan yararlanabilir ve veritabanının kendisinin Kubernetes kümelerini tehlikeye attığını yazdı.

Kurumsal Bulutu Koruma

Araştırmacılar, hem Kubernetes ortamlarını uygulayan işletmeler için genel pratik kurallar hem de savunmasız görüntüleri ve yaygın PostgreSQL yanlış yapılandırmalarını hedef alan saldırılara maruz kalmalarını önlemek için belirli hafifletme yöntemleri önerdiler.

Bruskin, genel olarak, güvenlik ekiplerinin açığa çıkan konteynerlerin ve savunmasız görüntülerin farkında olmaları ve ihlal edilmeden önce riski azaltmaya çalışmaları gerektiğini tavsiye etti.

“Güvenlik ihlallerinden ve riskli ifşalardan mümkün olduğunca korunmaya çalışan bir şirket için görüntüleri ve güvenli yapılandırmaları düzenli olarak güncellemek oyunun kurallarını değiştirebilir” diye yazdı.

Araştırmacılar, güvenlik açığı bulunan görüntüler içeren kapları uygulama riskini azaltmak için kuruluşların bir görüntüyü kapsayıcıya dağıtırken birkaç adım atabileceğini söyledi. Birincisi, görüntünün bilinen bir kayıt defterinden olduğundan ve yama uygulanıp en son sürüme güncellendiğinden emin olmak olduğunu söylediler.

Kuruluşlar ayrıca tüm görüntüleri güvenlik açıkları için taramalı, hangilerinin savunmasız olduğunu ve bu güvenlik açıklarının neler olduğunu, özellikle de açık kaplarda kullanılanları belirlemelidir. Son olarak araştırmacılar, belirli IP’lere erişim atayarak ve kullanıcıya “en az ayrıcalıklar” kuralını uygulayarak kaba erişimi en aza indirmenin, saldırganların Kubernetes ortamlarındaki savunmasız görüntülerden yararlanmasını da engelleyebileceğini söyledi.



Source link