Kinsing加密劫持操作背后的过错攻击威胁行为者被发现利用配置错误和暴露的 PostgreSQL 服务器来获取对 Kubernetes 环境的初始访问权限。
Microsoft Defender for Cloud 的误配安全研究员桑德斯布鲁斯金上周在一份报告中表示,第二种初始访问向量技术需要使用易受攻击的意软图像。
Kinsing 以容器化环境为目标有着悠久的通集群历史,经常利用错误配置的过错攻击开放式 Docker 守护程序 API 端口以及滥用新披露的漏洞来删除加密货币挖掘软件。
过去,误配除了终止和卸载竞争性资源密集型服务和进程外,意软还发现威胁行为者使用 Rootkit来隐藏其存在。通集群
现在,过错攻击根据微软的误配说法, Kinsing 攻击者利用PostgreSQL 服务器中的意软错误配置来获得初步立足点,该公司观察到“大量集群”以这种方式被感染。通集群
错误配置与信任身份验证设置有关,过错攻击如果该选项设置为接受来自任何 IP 地址的连接,则可能会滥用该设置来连接到没有任何身份验证的服务器并实现代码执行。
“一般来说,允许访问范围广泛的 IP 地址会使 PostgreSQL 容器面临潜在威胁,”Bruskin 解释说。
另一种攻击媒介针对具有易受攻击版本的 PHPUnit、Liferay、WebLogic 和 Wordpress 的服务器,这些服务器容易受到远程代码执行的影响,以运行恶意负载。
此外,最近的“广泛活动”涉及攻击者扫描开放的默认 WebLogic 端口 7001,如果找到,则执行 shell 命令以启动恶意软件。
“在没有采取适当安全措施的情况下将集群暴露在互联网上可能会使其容易受到来自外部来源的攻击,”布鲁斯金说。“此外,攻击者可以利用图像中的已知漏洞来访问集群。”
责任编辑:武晓燕 来源: 河南等级保护测评 恶意软件集群(责任编辑:知识)
Rio Tinto apologises for loss of tiny radioactive capsule in Australian outback