تیم Defender for Cloud مایکروسافت یه هشداری در خصوص افزایش فعالیت بدافزار Kinsing داده.
این بدافزار لینوکسی با استفاده از آسیب پذیری های شناخته شده در کانتینرها و پیکربندی اشتباه که منجر به افشای کانتینرهای PostgreSQL میشه ، به کلاسترهای Kubernetes حمله میکنه و از منابع اونها برای استخراج کریپتو استفاده میکنه.
این بدافزار به دلیل استفاده از آسیب پذیری های Log4Shell و Atlassian Confluence RCE در گذشته ، معروف هستن.
آسیب پذیری های رایج کانتینرها :
تله متری Defender for Cloud مایکروسافت گفته که بازیگران تهدید برای دسترسی اولیه اغلب سراغ آسیب پذیری های اجرای کد هستن و بیشتر از اکسپلویت برنامه های زیر استفاده میکنن :
– PHPUnit
– Liferay
– Oracle WebLogic (CVE-2020-14882 , CVE-2020-14750,CVE-2020-14883)
– WordPress
برای رفع این مشکلات ، بروزرسانی و بررسی امنیتی کلاسترها و imageها میتونه کمک کنه.
پیکربندی اشتباه PostgreSQL
در خصوص پیکربندی اشتباه PostgreSQL ، عوامل تهدید اغلب سراغ trust authentication میرن. تو این پیکربندی هرکسی که بتونه به سرور متصل بشه مجاز به دسترسی به پایگاه داده هستش.
پیکربندی اشتباه بعدی اختصاص رنج IP گسترده برای دسترسی هستش که به عوامل تهدید امکان دسترسی رو میده.
مایکروسافت گفته اگه پیکربندی IP هم سخت گیرانه باشه ، Kubernetes همچنان تحت تاثیر حملات ARP poisoning هستش که امکان جعل برنامه های داخل کلاستر رو برای دسترسی میده.
برای رفع این آسیب پذیری ها توصیه شده از دستورالعمل های امنیتی خود پروژه استفاده بشه.
مایکروسافت گفته که Defender for Cloud امکان شناسایی پیکربندی های اشتباه در کانتینرهای PostgreSQL رو داره.
همچنین با استفاده از این مقاله از BigBinary ، میتونید این بدافزار رو از کانتینرهاتون پاک کنید.