Beépülő kriptobányász
A Wiz Threat Research által azonosított JINX-0132 nevű fenyegetési szereplő egy kiterjedt kriptobányász kampányt indított, amely nyilvánosan elérhető DevOps eszközöket céloz meg, mint például a HashiCorp Nomad és Consul, a Docker API és a Gitea. A támadók kihasználják az ezekben az alkalmazásokban található ismert konfigurációs hibákat és sebezhetőségeket, hogy kriptobányász szoftvert telepítsenek, különösen az XMRig-et, amelyet nyilvános GitHub tárolókból töltenek le. Ez a megközelítés megnehezíti a támadások észlelését, mivel a támadók nem használnak egyedi, könnyen azonosítható eszközöket vagy szervereket.
A Nomad esetében a támadók kihasználják az alapértelmezett beállításokat, amelyek lehetővé teszik számukra, hogy távoli kódfuttatást hajtsanak végre a szerveren és a hozzá kapcsolódó csomópontokon keresztül. A Consulban a szolgáltatás-egészségügyi ellenőrzések funkcióját használják ki, amely lehetővé teszi számukra, hogy rosszindulatú parancsokat futtassanak le. A Docker API-n keresztül a támadók képesek új konténereket létrehozni és futtatni, amelyek kriptobányász szoftvert tartalmaznak. A Gitea esetében pedig a régebbi verziókban található sebezhetőségeket és konfigurációs hibákat használják ki, hogy hozzáférést szerezzenek a rendszerhez és rosszindulatú kódot futtassanak.
A Wiz kutatása szerint a felhőalapú környezetek 25%-a használja ezeket az eszközöket, és ezek közül 5% közvetlenül elérhető az interneten keresztül. Az ilyen nyilvánosan elérhető telepítések 30%-a hibásan van konfigurálva, ami jelentős kockázatot jelent. A támadások elkerülése érdekében a szervezeteknek szigorúan be kell tartaniuk a biztonsági legjobb gyakorlatokat, például az ACL-ek megfelelő beállítását, a nem szükséges funkciók letiltását és az alkalmazások naprakészen tartását.
