Kinsing kötü amaçlı yazılımı, kapsayıcı görüntülerindeki ve yanlış yapılandırılmış PostgreSQL kapsayıcılarındaki güvenlik açıklarından yararlanarak artık aktif olarak Kubernetes kümelerine sızıyor.
Tehdit aktörlerinin bu taktikleri kullanmaları alışılmadık bir durum değil, ancak görünüşe göre geçen hafta tehdit sayısında bir artış görüldü. Buradan, tehdit aktörlerinin sisteme saldırılar başlatmak için aktif olarak buluta erişim noktaları aradığı açıktır.
Kötü amaçlı yazılım açısından, Kinsing’in kripto madenciliği için kapsayıcıya alınmış sistemleri hedefleme geçmişi vardır ve bu da onu tehdit aktörleri için ideal bir seçim haline getirir. Sonuç olarak, tehdit aktörleri, ihlal edilen sunucudaki pahalı donanım kaynaklarını kullanarak gelir elde edebilir.
Bir Atlassian Confluence RCE, 2012’de Kinsing’in arkasındaki tehdit aktörleri tarafından hedefler üzerinde kalıcılık sağlamak amacıyla da kullanıldı; bu, bir Log4Shell güvenlik açığının keşfedilmesinin ardından son zamanlarda yükselişe geçen bir şey.
İstismar edilen yöntemler şunlardır: –
- Yöntem 1: Güvenlik açığı bulunan görüntüler
- Yöntem 2: Zayıf yapılandırılmış PostgreSQL’den yararlanma
Kapsayıcı Görüntü Kusurlarını Bulma
Microsoft’un tehdit avı etkinliği aracılığıyla Kinsing kötü amaçlı yazılımının sık sık bir dizi görüntüye bulaştığı tespit edildi.
Ağ erişimine sahip bir saldırgan, bu görüntülerin çoğundan yararlanabildi ve bu görüntüler RCE’ye (Uzaktan Kod Yürütme) karşı savunmasız olduğundan, bu görüntülerin kötü amaçlı yüklerini kabın içinden çalıştırabildi.
Kinsing operatörlerinin Linux sunucularına erişim elde etmek için giderek artan bir şekilde iki yöntem kullandığı Microsoft tarafından not edilmiştir. Açıklardan yararlanma, kapsayıcı görüntülerinde veya yanlış yapılandırılmış PostgreSQL veritabanı sunucularında bulunan güvenlik açıklarından yararlanmayı içerir.
Aşağıdakiler, kötü niyetli aktörler tarafından istismar edilen savunmasız uygulamalardan bazı örneklerdir: –
- PHPUnit
- Yaşam ışını
- WebMantığı
- wordpress
2020’de Oracle’ın, bilgisayar korsanları tarafından uzaktan istismar edilebilecek bir dizi yüksek önem dereceli güvenlik açığına eğilimli olduğu ortaya çıktı ve burada bunlardan aşağıda bahsediliyor:-
Bir saldırının ilk aşamasında, WebLogic’in varsayılan bağlantı noktasıyla (7001) eşleşen bir bağlantı noktasının açık olup olmadığını belirlemek için çok çeşitli IP adresleri taranır.
Belirli bir IP adresine güven yapılandırması atamak için pg_hba.conf dosyası düzenlenmelidir. Aşağıdaki satırın eklenmesi gerekiyor: –
- “Hepsini ağırla [IP_Address/range] güven”
Uygun güvenlik önlemleri olmadan İnternet’e maruz kalırsa, kümenin dış kaynaklardan saldırıya uğrama riski vardır. Ayrıca, saldırganlar kümeye erişim elde etmek için görüntülerdeki bilinen güvenlik açıklarından yararlanabilir.
Açığa çıkmalar ve savunmasız görüntüler, tehlikeye atılmadan önce güvenlik ekipleri tarafından tanımlanmalı ve azaltılmalıdır.
Bir şirket kendisini güvenlik ihlallerine ve riskli ifşalara karşı mümkün olduğunca korumak istiyorsa, düzenli olarak güncellenen görüntüler ve güvenli yapılandırmalar oyunun kurallarını değiştirebilir.
Görüntülerin en son sürümlerini kullanmak, bu sorunu azaltmanın en kolay ve en hızlı yollarından biridir. Kullanıcıların bu görüntüleri resmi depolardan ve güvenilir kaynaklardan indirmeleri de önerilir.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin