Злоумышленники развернули криптоджекинг-кампанию, используя уязвимости в популярных DevOps-инструментах, таких как Gitea, HashiCorp Consul и Nomad, а также Docker. Атака направлена на незащищённые конфигурации, позволяющие выполнять произвольный код и получать несанкционированный доступ к ресурсам. Инженер и киберэксперт компании «Газинформсервис» Роман Шарапов отмечает, что эта кампания демонстрирует, как уязвимости в DevOps-инструментах могут быть использованы для скрытого майнинга.
«Злоумышленники используют несколько векторов атаки, — объясняет инженер. — Например, в Gitea они используют уязвимости уровня кода, такие как CVE-2020-14144 (RCE через хуки) и логические ошибки в сессиях администратора. Открытый install endpoint также позволяет сбросить админ-доступ. В HashiCorp Consul атакующие регистрируют сервисы с вредоносными health check, которые выполняют shell-команды. Nomad уязвим из-за открытого API, позволяющего отправлять задания без аутентификации. Наконец, открытый API Docker Engine (порт 2375) даёт злоумышленникам root-доступ к системе».
Шарапов подчёркивает, что решения типа SAST/DAST (например, SafeERP) могли бы предотвратить эти атаки. «SAST-решения анализируют код на наличие уязвимостей, а DAST-решения тестируют работающие приложения на наличие уязвимостей в конфигурации. Решение, такое как SafeERP, например, может обнаружить небезопасные хуки в Gitea, открытые/install маршруты, доступ к API Nomad без ACL, выполнение health check через shell в Consul и открытый порт 2375 Docker. Таким образом, использование SAST/DAST-решений позволяет выявить и устранить уязвимости до того, как ими воспользуются злоумышленники», — добавил киберэксперт.
Оригинал публикации на сайте CISOCLUB: "Хакеры используют DevOps-инструменты для скрытого майнинга криптовалюты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.