0
0
Um malware que normalmente visa ambientes Linux para mineração de criptomoeda encontrou um novo alvo: imagens vulneráveis e contêineres PostgreSQL mal configurados no Kubernetes que podem ser explorados para acesso inicial, descobriu a Microsoft.
Kinsing é um malware baseado em Golang mais conhecido por seu direcionamento para ambientes Linux, mas pesquisadores da Microsoft observaram recentemente o malware Kinsing evoluindo suas táticas, divulgou o pesquisador de segurança da Microsoft Sunders Bruskin em um relatório publicado recentemente .
O Kubernetes, por sua vez, tornou-se a ferramenta de código aberto padrão para gerenciar a implantação de aplicativos corporativos principalmente porque é econômico, oferece escalonamento automático e pode ser executado em qualquer infraestrutura. De fato, 85% dos líderes de TI consideram o Kubernetes “extremamente importante” para as estratégias nativas da nuvem.
O fato de Kinsing começar a encontrar novas maneiras de explorar os clusters do Kubernetes está claro para o malware, especialmente porque o Kubernetes, como a própria nuvem, é notoriamente difícil de proteger . Os invasores encontraram várias brechas no Kubernetes – incluindo a descoberta de mais de 380.000 servidores abertos da API do Kubernetes expostos na Internet – que tornaram a temporada aberta em ambientes de nuvem que usam a plataforma de gerenciamento. Os agentes de ameaças estão até usando clusters Kubernetes comprometidos para lançar outros ataques mal-intencionados .
“Expor o cluster à Internet sem medidas de segurança adequadas pode deixá-lo aberto a ataques de fontes externas”, reconheceu Bruskin no post.
Segmentação de imagens de contêiner vulneráveis
Uma das novas maneiras pelas quais Kinsing está direcionando os ambientes do Kubernetes é segmentando imagens que são vulneráveis à execução remota de código (RCE), descobriram os pesquisadores. Isso permite que invasores com acesso à rede explorem o contêiner e executem sua carga maliciosa, disseram eles.
Em suas observações, os pesquisadores da Microsoft observaram várias imagens de aplicativos frequentemente infectadas com malware Kinsing, incluindo PHPUnit, Liferay, Oracle WebLogic e WordPress, escreveu Bruskin.
Uma série de vulnerabilidades de alta gravidade no WebLogic que a Oracle revelou em 2020 — CVE-2020-14882 , CVE-2020-14750 e CVE-2020-14883 — tornaram-se alvos específicos de invasores que usam o malware Kinsing, que persegue o WebLogic sem correção imagens do servidor, disseram os pesquisadores.
Os ataques começam com a varredura de uma ampla gama de endereços IP, procurando por uma porta aberta que corresponda à porta padrão do WebLogic (7001), revelou Bruskin.
“Se vulneráveis, os invasores podem usar uma das explorações para executar sua carga maliciosa (Kinsing, neste caso)”, escreveu ele, usando um comando malicioso.
PostgreSQL na mira
Os pesquisadores da Microsoft também observaram recentemente uma quantidade significativa de clusters Kubernetes executando contêineres PostgreSQL infectados com Kinsing. Eles atribuíram as infecções a invasores visando várias configurações incorretas comuns que expõem esses servidores, disseram eles.
Uma delas é usar a configuração de “autenticação de confiança” para configurar esses contêineres, o que significa que o PostgreSQL assumirá que qualquer pessoa que possa se conectar ao servidor está autorizada a acessar o banco de dados com qualquer nome de usuário do banco de dados especificado.
“No entanto, em alguns casos, esse intervalo é mais amplo do que deveria ou até aceita conexões de qualquer endereço IP (ou seja, 0.0.0.0/0)”, explicou Bruskin no post. “Em tais configurações, os invasores podem se conectar livremente aos servidores PostgreSQL sem autenticação, o que pode levar à execução do código”.
Algumas configurações de rede no Kubernetes também são propensas a envenenamento do Address Resolution Protocol (ARP), que permite que invasores representem aplicativos no cluster. Isso significa que mesmo especificar um endereço IP privado na configuração de “confiança” pode representar um risco de segurança, disseram os pesquisadores. ARP é o processo de conectar um endereço IP dinâmico ao endereço MAC de uma máquina física.
De fato, como regra geral, configurar um contêiner PostgreSQL para permitir o acesso a uma ampla variedade de endereços IP o expõe a uma ameaça potencial, alertou Bruskin.
Mesmo que os administradores não o configurem usando um método não seguro de “autenticação de confiança”, os invasores podem usar força bruta em contas PostgreSQL, usar ataques de negação de serviço (DoS) ou DoS distribuído (DDoS) na disponibilidade do contêiner ou explorar o contêiner e o próprio banco de dados para comprometer os clusters do Kubernetes, escreveu ele.
Protegendo a nuvem corporativa
Os pesquisadores ofereceram regras gerais para empresas que implementam ambientes Kubernetes e mitigações específicas para evitar expô-los a ataques direcionados a imagens vulneráveis e configurações incorretas comuns do PostgreSQL.
Em geral, as equipes de segurança devem estar cientes dos contêineres expostos e das imagens vulneráveis e tentar mitigar o risco antes que sejam violados, aconselhou Bruskin.
“A atualização regular de imagens e configurações seguras pode mudar o jogo para uma empresa ao tentar estar o mais protegida possível contra violações de segurança e exposição arriscada”, escreveu ele.
Para mitigar o risco de implementar contêineres com imagens vulneráveis, as organizações podem seguir várias etapas ao implantar uma imagem no contêiner, disseram os pesquisadores. A primeira é garantir que a imagem seja de um registro conhecido e que tenha sido corrigida e atualizada para a versão mais recente, disseram eles.
As organizações também devem verificar todas as imagens em busca de vulnerabilidades, identificando quais são vulneráveis e quais são essas vulnerabilidades, especialmente aquelas usadas em contêineres expostos. Por fim, disseram os pesquisadores, minimizar o acesso ao contêiner atribuindo acesso a IPs específicos e aplicando a regra de “menores privilégios” ao usuário também pode impedir que invasores explorem imagens vulneráveis em ambientes Kubernetes.
FONTE: DARK READING