Em uma campanha contínua de cryptomining que visa Kubernetes, atacantes estão explorando vulnerabilidades críticas de execução remota de código e autenticação em workloads do OpenMetadata.
OpenMetadata é uma plataforma de gerenciamento de metadados open-source que ajuda engenheiros de dados e cientistas a catalogar e descobrir ativos de dados dentro de suas organizações, incluindo bancos de dados, tabelas, arquivos e serviços.
As vulnerabilidades de segurança exploradas nesses ataques (
CVE-2024-28255
,
CVE-2024-28847
,
CVE-2024-28253
,
CVE-2024-28848
e
CVE-2024-28254
) foram corrigidas há um mês, em 15 de março, nas versões 1.2.4 e 1.3.1 do OpenMetadata.
A Microsoft, que identificou os ataques inicialmente, afirma que as cinco falhas têm sido ativamente exploradas desde o início de abril para sequestrar workloads do OpenMetadata expostos na Internet e que não foram atualizados.
"Uma vez que identificam uma versão vulnerável da aplicação, os atacantes exploram as vulnerabilidades mencionadas para obter execução de código no contêiner que executa a imagem vulnerável do OpenMetadata," disseram os pesquisadores de intel de ameaças da Microsoft, Hagai Ran Kestenberg e Yossi Weizman.
"Após confirmarem seu acesso e validarem a conectividade, eles prosseguem para baixar o payload, um malware relacionado a cryptomining, de um servidor remoto.Observamos os atacantes utilizando um servidor remoto localizado na China", complementa os pesquisadores.
O servidor que hospeda os payloads do malware também contém malwares adicionais de cryptomining para plataformas Linux e Windows.
Os atacantes também deixarão uma nota nos sistemas comprometidos, pedindo às vítimas que doem a criptomoeda Monero para ajudá-los a comprar um carro ou uma "suíte" na China.
Na próxima etapa, eles removem os payloads iniciais do app Kubernetes sequestrado e estabelecem uma conexão de shell reverso usando a ferramenta Netcat.
Isso lhes concede acesso remoto ao contêiner, permitindo que tomem o controle do sistema.
Além disso, para manter acesso persistente, os atacantes usam cronjobs para agendar tarefas que executam código malicioso em intervalos predeterminados.
Administradores que precisam expor seus workloads do OpenMetadata online são aconselhados a alterar as credenciais padrões e garantir que suas aplicações estejam sempre atualizadas contra vulnerabilidades recentemente divulgadas.
Para obter uma lista de todos os workloads do OpenMetadata em execução no seu ambiente Kubernetes, você pode usar o seguinte comando:
"Este ataque serve como um lembrete valioso de por que é crucial manter-se em conformidade e executar workloads totalmente atualizados em ambientes conteinerizados," concluíram Kestenberg e Weizman.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...