Kinsing
malware กำลังบุกรุก Kubernetes cluster โดยใช้จุดอ่อนที่ใน Container images และการตั้งค่าผิดพลาด
ที่ได้ถูกพบเห็นบน PostgreSQL containers แม้วิธีเหล่านี้จะไม่ใช่เรื่องแปลกใหม่
แต่ทีม Defender for Cloud ของ Microsoft ได้รายงานว่า เขาเพิ่งได้รู้ถึงวิธีการนี้เมื่อเร็ว ๆ นี้ ซึ่งเป็นข้อบ่งชี้ว่า
ผู้ไม่ประสงค์ดียังคงมองหาช่องทางในการบุกรุกอยู่
Kinsing คือ Linux malware ที่มีประวัติในการกำหนดเป้าหมายเป็น
ระบบ Containers เพื่อขุดเหรียญ Crypto โดยใช้ทรัพยากร Hardware ของเครื่องที่ถูกบุกรุก
เพื่อสร้างรายได้ให้กับผู้ไม่ประสงค์ดี ซึ่งผู้ไม่ประสงค์ดี ที่อยู่เบื้องหลัง Kinsing
ได้ใช้ช่องโหว่ที่รู้จักกัน เช่น Log4Shell
และเมื่อเร็ว ๆ นี้ Atlassian Confluence RCE ได้เริ่มถูกบุกรุกแล้วเช่นกัน
การสแกนหาข้อบกพร่องสำหรับ Container
image
Microsoft กล่าวว่า พวกเขาได้พบ 2 วิธีการที่ ผู้ใช้ Kinsing ใช้ในการเข้าสู่ Linux server โดยใช้ช่องโหว่ของ Container image หรือความผิดพลาดในการตั้งค่า PostgreSQL database server เมื่อสามารถผ่านเข้ามาได้ ผู้ไม่ประสงค์ดีจะหาทางในการเรียกใช้ Code เพื่อใช้งาน Payloads (การเรียกใช้งานต่างๆที่เป็นภัย)
Microsoft Defender สำหรับ Cloud ได้มีการระบุว่า ผู้ไม่ประสงค์ดีจะพยายามใช้ช่องโหว่เพื่อมาบุกรุกตาม Application ข้างต้นเพื่อผ่านเข้าระบบมา ได้แก่
- PHPUnit
- Liferay
- Oracle WebLogic
- WordPress
ในกรณีของ WebLogic แฮกเกอ์จะสแกนหา CVE-2020-14882, CVE-2020-14750, CVE-2020-14883 ซึ่งทั้งหมดนี้เป็นช่องโหว่ของการเรียกใช้ Code ที่มีผลกับ Oracle โดยปัญหาเหล่านี้สามารถหลีกเลี่ยงได้โดยใช้ Images เวอร์ชั่นล่าสุดในการติดตั้ง และใช้ Images ที่มาจากแหล่งเก็บที่เป็นทางการ และที่น่าเชื่อถือ Microsoft ได้แนะนำให้ลดการเข้าใช้ Container ที่อนุญาตให้เห็นได้ผ่าน IP และการตั้งค่าสิทธิการเข้าใช้ต่ำ
การโจมตี PostgreSQL
ทางที่ 2 ของการโจมตีที่ ผู้เชี่ยวชาญด้านความปลอดภัยของ
Microsoft ได้เป็นผู้พบ คือการมุ่งเป้าไปที่ PostgreSQL
server ที่มีการตั้งค่าผิดพลาดที่มีจำนวนมากขึ้น โดยหนึ่งในการตั้งค่าผิดพลาดมากที่สุด
ที่ผู้ไม่ประสงค์ดีนำไปใช้ประโยชน์ได้คือ การตั้งค่า ‘Trust authentication’
ที่สั่งการให้ PostgreSQL ถือว่า “ใครก็ตามที่สามารถเข้ามาที่ Server ได้
คือคนที่ได้รับอนุญาตเข้าถึง Database” และความผิดพลาดอื่น ๆ
เช่นการกำหนด IP address ที่กว้างเกินไป รวมไปถึงบาง IP
address ที่ผู้ไม่ประสงค์ดีอาจจะใช้ในการเข้าถึง Server ได้
สำหรับการแก้ไขปัญหาการตั้งค่า PostgreSQL เบื้องต้น
สามารถเข้าดูที่เว็บเพจคำแนะนำด้านความปลอดภัย PostgreSQL:
Documentation: 7.0: Security และสุดท้าย Microsoft กล่าวว่าตัว
Defender สำหรับ Cloud
สามารถตรวจการให้สิทธิการตั้งค่า และการตั้งค่าผิดพลาดได้บน PostgreSQL
containers และช่วยให้ผู้ดูแลลดความเสี่ยงก่อนที่แฮกเกอร์จะเข้ามาใช้ช่องโหว่เหล่านี้
สำหรับผู้ดูแล PostgreSQL ที่ Server
ถูก Kinsing บุกรุกโดย Sreeram Venkitesh ของ BigBinary ได้เขียนบทความเกี่ยวกับการถูกบุกรุกของพวกเขา
และวิธีที่ลบ Kinsing ออก How
my server got infected with a crypto mining malware and how I fixed it -
BigBinary Blog
ไม่มีความคิดเห็น:
แสดงความคิดเห็น