I criminali informatici stanno utilizzando nuove vulnerabilità critiche della piattaforma OpenMetadata per compromettere gli ambienti Kubernetes. Un’analisi approfondita dell’attacco e suggerimenti su come proteggersi.
La sofisticazione e la persistenza degli attacchi informatici continuano a evolvere, con l’obiettivo di compromettere gli ambienti Kubernetes. Microsoft ha recentemente scoperto un attacco che si avvale di nuove vulnerabilità critiche della piattaforma OpenMetadata con l’intento di accedere ai carichi di lavoro di Kubernetes e utilizzarli per attività di criptojacking.
OpenMetadata è una piattaforma open-source progettata per gestire i metadati di diverse fonti di dati. Funziona come archivio centrale per la genealogia dei metadati, permettendo agli utenti di scoprire, capire e governare i loro dati. A marzo 2024, OpenMetadata ha mostrato diverse vulnerabilità, che potrebbero essere sfruttate dagli aggressori per aggirare l’autenticazione e ottenere l’esecuzione di codice remoto. Queste vulnerabilità interessano le versioni precedenti alla 1.3.1.
Nelle ultime settimane, abbiamo osservato l’effettiva sfruttamento di queste vulnerabilità negli ambienti Kubernetes. Microsoft consiglia vivamente ai clienti di verificare i cluster che gestiscono i carichi di lavoro di OpenMetadata e di assicurarsi che le relative immagini siano aggiornate alla versione 1.3.1 o successive. In questo articolo, condividiamo la nostra analisi dell’attacco, offriamo orientamenti per identificare i cluster vulnerabili e come utilizzare le soluzioni di sicurezza di Microsoft come Microsoft Defender for Cloud per rilevare attività dannose.
Per la connessione iniziale, gli aggressori probabilmente identificano e mirano ai carichi di lavoro di OpenMetadata di Kubernetes esposti su Internet. Una volta identificata una versione vulnerabile dell’applicazione, sfruttano le vulnerabilità suddette per ottenere l’esecuzione del codice sul contenitore in cui è in esecuzione l’immagine vulnerabile di OpenMetadata.
Dopo essersi stabiliti, si adoperano per validare il successo del loro infiltramento e valutare il loro livello di controllo sul sistema compromesso. Questo passaggio di ricognizione comporta spesso il contatto con un servizio pubblicamente disponibile. Nell’attacco in esame, i criminali inviano richieste di ping a domini che terminano con “oast[.]me” e “oast[.]pro”, associati a Interactsh, uno strumento open source per rilevare interazioni fuori banda.
Dopo aver ottenuto l’accesso iniziale, gli aggressori eseguono una serie di comandi di ricognizione per raccogliere informazioni sull’ambiente della vittima. Interrogano informazioni sulla configurazione di rete e hardware, la versione del sistema operativo, utenti attivi ecc. Una volta confermato il loro accesso e validata la connettività, procedono a scaricare il payload, un malware correlato al criptojacking, da un server remoto. Abbiamo osservato che gli aggressori utilizzano un server remoto situato in Cina.
Gli utenti che eseguono carichi di lavoro di OpenMetadata nei loro cluster devono garantire che l’immagine sia aggiornata. Nel caso di una esposizione di OpenMetadata su Internet, è necessario garantire un’autenticazione forte ed evitare di utilizzare le credenziali predefinite.
Questo attacco serve come promemoria del motivo per cui è fondamentale restare conformi ed eseguire carichi di lavoro completamente corretti in ambienti containerizzati. Sottolinea anche l’importanza di una soluzione di sicurezza completa, in quanto può aiutare a rilevare attività dannose nel cluster quando una nuova vulnerabilità viene utilizzata nell’attacco.