Bulut Güvenliği, Kripto Para Dolandırıcılığı, Dolandırıcılık Yönetimi ve Siber Suçlar
Bilgisayar Korsanları Bulut Kubernetes Ortamlarında Çalışan OpenMetadata Platformlarını Hedefliyor
Prajeet Nair (@prajeetspeaks) •
17 Nisan 2024
Microsoft, Çinli gibi görünen bilgisayar korsanlarının, kripto madencilik yazılımını indirmek için Kubernetes kümelerinde iş yükü olarak çalışan OpenMetadata platformundaki güvenlik açıklarından yararlandığı konusunda uyarıyor.
Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi
Çarşamba günkü bir blog yazısında bilgi işlem devi, bir dizi zincirleme güvenlik açığının saldırganların kimlik doğrulamayı atlamasına ve uzaktan kod yürütmesine olanak sağladığını söyledi. OpenMetadata platformu, birden fazla kaynaktan toplanan meta verileri merkezi bir platformda birleştirmeyi amaçlıyor. Microsoft, bu ayın başında Kubernetes ortamlarındaki OpenMetadata güvenlik açıklarından yararlanıldığını gözlemlemeye başladığını söyledi.
CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 ve CVE-2024-28254 olarak tanımlanan kusurlar, 1.3.1’den önceki sürümleri etkilemektedir.
Saldırı, bilgisayar korsanlarının Çin’de bulunan uzak bir sunucudan Kubernetes ortamlarına kripto madencilikle ilgili yazılım indirmesiyle sonuçlanacak gibi görünüyor. Saldırganlar ayrıca kurbanlara, kötü amaçlı yazılımı kaldırmamaları yönünde çağrıda bulunan bir not bırakıyor. Notta “Merhaba dostum. Son zamanlarda birçok kuruluşun Trojanımı bildirdiğini gördüm. Lütfen beni bırak” diyor. “Bir araba satın almak istiyorum. Hepsi bu.” Aynı zamanda mağdurlara da yalvarıyor: “Ailem çok fakir. Çin’de süit satın almak zor.” Notta, monero gizlilik odaklı dijital para birimiyle yapılan bağışlar için bir kripto para birimi cüzdan adresi yer alıyor.
Microsoft, saldırının muhtemelen internete açık olan OpenMetadata’nın Kubernetes iş yüklerini tanımlayan ve hedefleyen saldırılarla başladığını söyledi. Bir yer edinmek için güvenlik açıklarından yararlanan saldırganların yaptığı ilk şey, alanları doğrulamak ve değerlendirmek, alanlara ping istekleri göndermektir. oast.me Ve oast.pro. Microsoft, bu sitelerin güvenlik ekiplerinin bir web uygulamasında istismar edilebilir güvenlik açıklarının varlığını tespit etmesi için tasarlandığını, ancak saldırganların bunları “güvenlik uyarılarını tetikleyebilecek şüpheli giden trafik oluşturmadan” ağ bağlantısını belirlemek için kullanabileceğini söyledi.
Keşif aşaması, OpenMetadata için kullanılan hizmetlere ilişkin kimlik bilgileri de dahil olmak üzere, “ek kaynaklara doğru yanal harekete yol açabilecek” çevresel değişkenlerin aranmasını içerir.
Bu noktada bilgisayar korsanları kötü amaçlı yazılımı indirir. Ayrıca sunucularına ters kabuk bağlantısı başlatırlar ve kripto madencilik yazılımını önceden belirlenmiş aralıklarla arka planda çalışacak şekilde planlarlar.
Microsoft, “Kümelerinde OpenMetadata iş yükünü çalıştıran yöneticilerin görüntünün güncel olduğundan emin olmaları gerekir. OpenMetadata’nın internete açık olması gerekiyorsa, güçlü kimlik doğrulama kullandığınızdan emin olun ve varsayılan kimlik bilgilerini kullanmaktan kaçının” dedi.