Kubernetes clusters ถูกแฮกโดย Kinsing malware ผ่าน PostgreSQL

 

Kinsing malware กำลังบุกรุก Kubernetes cluster โดยใช้จุดอ่อนที่ใน Container images และการตั้งค่าผิดพลาด ที่ได้ถูกพบเห็นบน PostgreSQL containers แม้วิธีเหล่านี้จะไม่ใช่เรื่องแปลกใหม่ แต่ทีม Defender for Cloud ของ Microsoft ได้รายงานว่า เขาเพิ่งได้รู้ถึงวิธีการนี้เมื่อเร็ว ๆ นี้ ซึ่งเป็นข้อบ่งชี้ว่า ผู้ไม่ประสงค์ดียังคงมองหาช่องทางในการบุกรุกอยู่

Kinsing คือ Linux malware ที่มีประวัติในการกำหนดเป้าหมายเป็น ระบบ Containers เพื่อขุดเหรียญ Crypto โดยใช้ทรัพยากร Hardware ของเครื่องที่ถูกบุกรุก เพื่อสร้างรายได้ให้กับผู้ไม่ประสงค์ดี ซึ่งผู้ไม่ประสงค์ดี ที่อยู่เบื้องหลัง Kinsing ได้ใช้ช่องโหว่ที่รู้จักกัน เช่น Log4Shell และเมื่อเร็ว ๆ นี้ Atlassian Confluence RCE ได้เริ่มถูกบุกรุกแล้วเช่นกัน (ช่องโหว่ CVE-2022-26134)

การสแกนหาข้อบกพร่องสำหรับ Container image

Microsoft กล่าวว่า พวกเขาได้พบ 2 วิธีการที่ ผู้ใช้ Kinsing ใช้ในการเข้าสู่ Linux server โดยใช้ช่องโหว่ของ Container image หรือความผิดพลาดในการตั้งค่า PostgreSQL database server เมื่อสามารถผ่านเข้ามาได้ ผู้ไม่ประสงค์ดีจะหาทางในการเรียกใช้ Code เพื่อใช้งาน Payloads (การเรียกใช้งานต่างๆที่เป็นภัย)

Microsoft Defender สำหรับ Cloud ได้มีการระบุว่า ผู้ไม่ประสงค์ดีจะพยายามใช้ช่องโหว่เพื่อมาบุกรุกตาม Application ข้างต้นเพื่อผ่านเข้าระบบมา ได้แก่

-    PHPUnit

-    Liferay

-    Oracle WebLogic

-    WordPress

           ในกรณีของ WebLogic แฮกเกอ์จะสแกนหา CVE-2020-14882, CVE-2020-14750, CVE-2020-14883 ซึ่งทั้งหมดนี้เป็นช่องโหว่ของการเรียกใช้ Code ที่มีผลกับ Oracle โดยปัญหาเหล่านี้สามารถหลีกเลี่ยงได้โดยใช้ Images เวอร์ชั่นล่าสุดในการติดตั้ง และใช้ Images ที่มาจากแหล่งเก็บที่เป็นทางการ และที่น่าเชื่อถือ Microsoft ได้แนะนำให้ลดการเข้าใช้ Container ที่อนุญาตให้เห็นได้ผ่าน IP และการตั้งค่าสิทธิการเข้าใช้ต่ำ

การโจมตี PostgreSQL

            ทางที่ 2 ของการโจมตีที่ ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft ได้เป็นผู้พบ คือการมุ่งเป้าไปที่ PostgreSQL server ที่มีการตั้งค่าผิดพลาดที่มีจำนวนมากขึ้น โดยหนึ่งในการตั้งค่าผิดพลาดมากที่สุด ที่ผู้ไม่ประสงค์ดีนำไปใช้ประโยชน์ได้คือ การตั้งค่า ‘Trust authentication’ ที่สั่งการให้ PostgreSQL ถือว่า “ใครก็ตามที่สามารถเข้ามาที่ Server ได้ คือคนที่ได้รับอนุญาตเข้าถึง Database” และความผิดพลาดอื่น ๆ เช่นการกำหนด IP address ที่กว้างเกินไป รวมไปถึงบาง IP address ที่ผู้ไม่ประสงค์ดีอาจจะใช้ในการเข้าถึง Server ได้

            สำหรับการแก้ไขปัญหาการตั้งค่า PostgreSQL เบื้องต้น สามารถเข้าดูที่เว็บเพจคำแนะนำด้านความปลอดภัย PostgreSQL: Documentation: 7.0: Security  และสุดท้าย Microsoft กล่าวว่าตัว Defender สำหรับ Cloud สามารถตรวจการให้สิทธิการตั้งค่า และการตั้งค่าผิดพลาดได้บน PostgreSQL containers และช่วยให้ผู้ดูแลลดความเสี่ยงก่อนที่แฮกเกอร์จะเข้ามาใช้ช่องโหว่เหล่านี้ สำหรับผู้ดูแล PostgreSQL ที่ Server ถูก Kinsing บุกรุกโดย Sreeram Venkitesh ของ BigBinary ได้เขียนบทความเกี่ยวกับการถูกบุกรุกของพวกเขา และวิธีที่ลบ Kinsing ออก How my server got infected with a crypto mining malware and how I fixed it - BigBinary Blog

Ref: www.bleepingcomputer.com