Bulut Güvenliği , Güvenlik İşlemleri
Kubernetes Ortamını Hedefleyen Kinsing Kötü Amaçlı Yazılım, Oracle Kusuru
Prajeet Nair (@prajeetspeaks) •
10 Ocak 2023
Araştırmacılar, Kinsing kötü amaçlı yazılımının, yanlış yapılandırılmış ve açığa çıkmış PostgreSQL sunucularından yararlanarak Kubernetes sunucularına erişim kazandığını keşfettiler. Tehdit aktörleri, zayıf yapılandırılmış PostgreSQL kapsayıcılarını ve savunmasız kapsayıcı görüntülerini kullanarak erişim elde etti.
Ayrıca bakınız: Siber Olgunluk: Önceliklendirmeye, Riski Ölçmeye Yeni Bakış
Microsoft Defender for Cloud’daki araştırmacılar, Kinsing kötü amaçlı yazılımının bulaştığı artan sayıda PostgreSQL kapsayıcısını gözlemledi. Microsoft Defender for Cloud güvenlik araştırmacısı Sunders Bruskin, geçen hafta yayınlanan bir raporda, kapsayıcılı ortamları hedefleyen benzersiz teknikler kullandığını söyledi.
Golang tabanlı bir kötü amaçlı yazılım olan Kinsing’in Linux ortamlarını hedef aldığı gözlemlendi.
“Bunun kötü amaçlı yazılım tarafından hedef alınan yeni bir görüntü olması, ona bazı yeni bulaşma yöntemlerinin eklendiği anlamına geliyor. Cryptominers’ın ana hedefi, müşterinin kaynaklarını kullanmaktır. Virüs bulaşabilecek sunucular varsa, kötü amaçlı yazılım dener. onları hedeflemek ve kötü amaçlı yazılımı çalıştırmak için,” diyor Bruskin, Information Security Media Group’a.
Yanlış yapılandırılmış PostgreSQL
Yanlış yapılandırmalar, belirtildiğinde yetkili bağlantılar oldukları varsayılarak tüm sunuculara erişime izin veren “güven kimlik doğrulaması” ayarını kullanır.
Bruskin, çok çeşitli IP adreslerine erişime izin verilmesinin PostgreSQL kapsayıcısını potansiyel bir tehdide maruz bıraktığını söylüyor.
“Güvenli olmayan güven doğrulama yöntemi kullanılmasa ve bunun yerine başka yöntemler kullanılsa bile, saldırganları PostgreSQL hesapları üzerinde kaba kuvvet, DoS ve DDoS saldırıları ile kapsayıcı kullanılabilirliğine saldırmak, Konteyner ve DB’nin kendisi,” diye ekliyor Bruskin.
Kapsayıcı Görüntülerinden Yararlanma
Etkilenen görüntülerin ayrıca uzaktan kod yürütmeye karşı savunmasız olduğu ve sonuç olarak ağ erişimi olan saldırganların kapsayıcıdan yararlanmalarına ve kötü amaçlı yüklerini çalıştırmalarına izin verdiği bulundu.
Uygulamaların PHPUnit, Liferay, WebLogic ve WordPress gibi savunmasız birkaç sürümü saldırganlar tarafından istismar edildi.
Bruskin, “WebLogic sunucularının savunmasız sürümlerini hedef alan yaygın bir Kinsing kampanyası” gözlemlediklerini ve Oracle WebLogic istismarına odaklandıklarını söylüyor.
2020’de Oracle, CVE-2020-14882, CVE-2020-14750 ve CVE-2020-14883 olarak izlenen, uzaktan kod yürütülmesine izin veren bir dizi yüksek önem dereceli güvenlik açığını açıkladı.
WebLogic kusuru, bir kullanıcı adı ve parolaya ihtiyaç duymadan bir ağ üzerinden kullanılabilir. Oracle tarafından yapılan önceki bir güncellemeye göre, bir tehdit aktörünün saldırıyı başlatmak için yalnızca WebLogic Sunucusunun yönetim konsoluna kötü amaçlı bir HTTP isteği göndermesi yeterliydi.
Bruskin, “Saldırılar, çok çeşitli IP adreslerinin taranmasıyla başlar ve WebLogic varsayılan bağlantı noktasıyla (7001) eşleşen açık bir bağlantı noktası arar. Saldırganlar savunmasızsa, kötü amaçlı yüklerini çalıştırmak için açıklardan birini kullanabilir.”
Oracle ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Ekim 2020’den beri mevcut olan yamayı uygulamanın önemi hakkında uyarılar yayınladı (bkz:: CISA ve Oracle, WebLogic Sunucu Güvenlik Açığı Üzerine Uyardı).
Bruskin, “Kapsayıcıların internete maruz kalmasını en aza indirmenizi öneririz. Yapılandırmanın farkında olun ve yamalı görüntüler ve bilinen depolar kullanın” diyor.