Segundo a equipe do Defender for Cloud da Microsoft, o Malware Kinsing está atacando clusters Kubernetes via PostgreSQL.
Kinsing é um malware Linux com histórico de segmentação de ambientes em contêineres para mineração de criptografia, usando os recursos de hardware do servidor violado para gerar receita para os agentes de ameaças.
Os agentes de ameaças por trás do Kinsing são conhecidos por explorar vulnerabilidades conhecidas como Log4Shell e, mais recentemente, um Atlassian Confluence RCE para violar alvos e estabelecer persistência.
Agora, o malware Kinsing agora está violando ativamente os clusters do Kubernetes, aproveitando pontos fracos conhecidos em imagens de contêineres e contêineres PostgreSQL expostos e mal configurados.
Malware Kinsing está atacando clusters Kubernetes via PostgreSQL
Embora essas táticas não sejam novas, a equipe do Defender for Cloud da Microsoft relata que tem visto um aumento ultimamente, indicando que os agentes de ameaças estão procurando ativamente por pontos de entrada específicos.
A Microsoft diz que viu um aumento em dois métodos usados pelos operadores Kinsing para obter acesso inicial a um servidor Linux – explorando uma vulnerabilidade em imagens de contêiner ou servidores de banco de dados PostgreSQL mal configurados.
Ao explorar vulnerabilidades de imagem, os agentes de ameaças procuram falhas de execução remota de código que lhes permitam enviar suas cargas úteis.
A telemetria do Microsoft Defender for Cloud indicou que os agentes de ameaças estão tentando explorar vulnerabilidades nos seguintes aplicativos para acesso inicial:
- PHPUnitName
- Liferay
- Oracle WebLogic
- WordPress
Nos casos do WebLogic, os hackers verificam CVE-2020-14882, CVE-2020-14750 e CVE-2020-14883, todas as falhas de execução remota de código que afetam o produto da Oracle.
“Recentemente, identificamos uma ampla campanha de Kinsing que visava versões vulneráveis de servidores WebLogic.”, diz um relatório do pesquisador de segurança da Microsoft Sunders Bruskin.
“Os ataques começam com a varredura de uma ampla gama de endereços IP, procurando por uma porta aberta que corresponda à porta padrão do WebLogic (7001).”
Mitigar esse problema é tão simples quanto usar as versões mais recentes disponíveis das imagens que você deseja implantar e obter essas imagens apenas de repositórios oficiais e locais confiáveis.
A Microsoft também sugere minimizar o acesso a contêineres expostos usando listas de permissão de IP e seguindo os princípios de privilégio mínimo.
O segundo caminho de ataque inicial que os especialistas em segurança da Microsoft observaram foi um aumento no direcionamento de servidores PostgreSQL mal configurados.
Uma das configurações incorretas mais comuns que os invasores usam é a configuração de ‘autenticação de confiança’, que instrui o PostgreSQL a assumir que “qualquer pessoa que possa se conectar ao servidor está autorizada a acessar o banco de dados”.
Outro erro é atribuir um intervalo de endereços IP muito amplo, incluindo qualquer endereço IP que o invasor possa estar usando para fornecer acesso ao servidor.
Mesmo que a configuração de acesso IP seja rígida, a Microsoft diz que o Kubernetes ainda é propenso a envenenamento por ARP (Protocolo de Resolução de Endereços), portanto, os invasores podem falsificar aplicativos no cluster para obter acesso.
Para mitigar problemas de configuração do PostgreSQL, consulte a página de recomendações de segurança do projeto e aplique as medidas propostas.
Por fim, a Microsoft diz que o Defender for Cloud pode detectar configurações permissivas e configurações incorretas em contêineres PostgreSQL e ajudar os administradores a mitigar os riscos antes que os hackers os aproveitem.
Para administradores do PostgreSQL cujos servidores foram infectados com Kinsing, Sreeram Venkitesh da BigBinary escreveu um artigo sobre como o malware infectou seu dispositivo e como eles finalmente o removeram.
