Kubernetes

現在進行中の Kubernetes クリプトマイニングキャンペーンにおいて、攻撃者は重大なリモートコード実行および認証の脆弱性を利用して OpenMetadata ワークロードを標的としています。

OpenMetadata はオープンソースのメタデータ管理プラットフォームで、データエンジニアや科学者がデータベース、テーブル、ファイル、サービスなど、組織内のデータ資産をカタログ化し、発見できるように支援します。

これらの攻撃で悪用されたセキュリティ脆弱性(CVE-2024-28255CVE-2024-28847CVE-2024-28253CVE-2024-28848CVE-2024-28254)は、GitHub Security LabのAlvaro Muñozによって12月14日に報告され、1月5日にOpenMetadataのバージョン1.2.4以降でパッチが適用されました。

Collate CTOでOpenMetadataプロジェクトのメンテナーであるSriharsha Chintalapaniによると、これらの欠陥は “認証されていない、管理者でないユーザが悪意のあるペイロードを注入したり、セキュリティポリシーを迂回したりすることを可能にし、特権の昇格につながる可能性がある “という。

この攻撃を最初に発見したマイクロソフト社によると、5つの欠陥は4月上旬から積極的に悪用され、パッチを適用せずにインターネットに公開されたOpenMedataのワークロードを乗っ取っているという。

「マイクロソフトの脅威情報研究者であるHagai Ran Kestenberg氏とYossi Weizman氏は、「攻撃者は、アプリケーションの脆弱なバージョンを特定すると、脆弱なOpenMetadataイメージを実行しているコンテナ上でコードを実行するために、前述の脆弱性を悪用する。

「攻撃者はアクセスを確認し、接続性を確認すると、リモートサーバーから暗号化関連のマルウェアをダウンロードします。我々は、攻撃者が中国にあるリモートサーバーを使用していることを確認した。

マルウェアのペイロードをホストするサーバーには、LinuxとWindowsの両プラットフォーム用の追加のクリプトマイニングマルウェアも含まれている。

攻撃者はまた、侵害されたシステム上にメモを残し、被害者が中国で車や “スイート “を購入するためにMonero暗号通貨を寄付するよう求める。

Note left on breached servers
侵入したサーバーに残されたメモ(マイクロソフト)

次の段階では、乗っ取ったKubernetesアプリから初期ペイロードを削除し、Netcatツールを使ってリバースシェル接続を確立する。これにより、コンテナへのリモートアクセスが可能になり、システムを制御できるようになる。

さらに、持続的なアクセスを維持するために、攻撃者はcronjobsを使用して、悪意のあるコードを実行するタスクを所定の間隔でスケジュールする。

OpenMedataのワークロードをオンラインに公開する必要がある管理者は、デフォルトの認証情報を変更し、アプリケーションが最近公開された脆弱性に対して常にパッチが適用されていることを確認することをお勧めします。

Kubernetes 環境で稼働しているすべての OpenMetadata ワークロードのリストを取得するには、以下のコマンドを使用できます:

kubectl get pods --all-namespaces -o=jsonpath='{range .items[*]}{.spec.containers[*].image}{"n"}{end}' | grep 'openmetadata'

「この攻撃は、コンテナ化された環境において、コンプライアンスを守り、完全にパッチを適用したワークロードを実行することが極めて重要であることを再認識させるものです」と、Kestenberg氏とWeizman氏は結論付けている。

更新 4月22日16時7分(米国東部時間):さらなる情報開示とパッチ適用のタイムラインの詳細を追加。