Kinsing加密劫持操作背后的威胁参与者被发现利用配置错误和暴露的PostgreSQL服务器来获得对Kubernetes环境的初始访问权限。MicrosoftDefenderforCloud的安全研究员SandersBrooking上周在一份报告中表示,第二种初始访问向量技术需要使用易受攻击的图像。Kinsing长期以来一直以容器化环境为目标,经常利用配置错误的开放Docker守护程序API端口并滥用新披露的漏洞来删除加密货币挖掘软件。过去,除了终止和卸载竞争性资源密集型服务和进程外,还发现威胁行为者使用Rootkit来隐藏他们的存在。现在,据微软称,Kinsing攻击者正在利用PostgreSQL服务器中的错误配置来获得初步立足点,该公司已经观察到“大量集群”以这种方式被感染。错误配置与信任身份验证设置有关,如果该选项设置为接受来自任何IP地址的连接,则该设置可能被滥用以在没有任何身份验证的情况下连接到服务器并实现代码执行。“一般来说,允许访问范围广泛的IP地址会使PostgreSQL容器面临潜在威胁,”Bruskin解释说。另一种攻击媒介针对具有易受攻击版本的PHPUnit、Liferay、WebLogic和Wordpress的服务器,这些服务器容易受到远程代码执行的攻击以运行恶意负载。此外,最近的“广泛活动”涉及攻击者扫描开放的默认WebLogic端口7001,如果找到,则执行shell命令以启动恶意软件。“在没有适当安全措施的情况下将集群暴露在互联网上可能会使其容易受到来自外部来源的攻击,”布鲁斯金说。“此外,攻击者可以利用图像中的已知漏洞来访问集群。”
