Kubernetes

Kinsing マルウェアは現在、コンテナ イメージの既知の脆弱性と、不適切に構成され、公開されている PostgreSQL コンテナを利用して、積極的に Kubernetes クラスタを侵害しています。

これらの戦術は目新しいものではありませんが、Microsoft の Defender for Cloud チームは最近増加傾向にあると報告しており、攻撃者が特定のエントリ ポイントを積極的に探していることを示しています。

Kinsing は Linux マルウェアであり、仮想通貨マイニングの目的でコンテナ化された環境を標的としてきた歴史があり、侵害されたサーバーのハードウェア リソースを使用して攻撃者に収益をもたらしています。

Kinsing の背後にいる攻撃者は、 Log4Shellのような既知の脆弱性を悪用することで知られており、最近ではAtlassian Confluence RCEを悪用して標的を侵害し、持続性を確立しています。

コンテナ イメージの欠陥のスキャン

Microsoft によると、Kinsing のオペレーターが Linux サーバーへの初期アクセスを取得するために使用する 2 つの方法が増加しているとのことです。つまり、コンテナー イメージの脆弱性を悪用したり、PostgreSQL データベース サーバーの構成が不適切だったりします。

イメージの脆弱性を悪用する場合、攻撃者は、ペイロードのプッシュを可能にするリモート コード実行の欠陥を探します。

Microsoft Defender for Cloud テレメトリは、攻撃者が初期アクセスのために次のアプリの脆弱性を悪用しようとしていることを示しました。

  • PHPユニット
  • ライフレイ
  • オラクルWebLogic
  • ワードプレス

WebLogic の場合、ハッカーは CVE-2020-14882、CVE-2020-14750、および CVE-2020-14883 をスキャンします。これらはすべて、オラクルの製品に影響を与えるリモート コード実行の欠陥です。

Microsoft のセキュリティ研究者である Sunders Bruskin のレポートには、「最近、WebLogic サーバーの脆弱なバージョンを標的とした Kinsing の広範なキャンペーンが確認されました。

「攻撃は広範囲の IP アドレスのスキャンから始まり、WebLogic のデフォルト ポート (7001) と一致する開いているポートを探します。」

この問題を軽減するには、デプロイするイメージの利用可能な最新バージョンを使用し、これらのイメージを公式リポジトリと信頼できる場所から調達するだけです。

Microsoft はまた、IP 許可リストを使用し、最小特権の原則に従うことで、公開されたコンテナーへのアクセスを最小限に抑えることを提案しています。

キンシングの2つの攻撃方法
Kinsing (Microsoft)の 2 つの攻撃方法

PostgreSQL への攻撃

Microsoft のセキュリティ専門家が観察した 2 番目の初期攻撃経路は、不適切に構成された PostgreSQL サーバーを標的とする増加でした。

攻撃者が利用する最も一般的な設定ミスの 1 つは、「サーバーに接続できる人は誰でもデータベースへのアクセスを許可されている」と仮定するように PostgreSQL に指示する「信頼認証」設定です。

もう 1 つの間違いは、攻撃者がサーバーへのアクセスを許可するために使用している可能性のある IP アドレスを含め、広すぎる IP アドレス範囲を割り当てることです。

IP アクセス構成が厳密であっても、Microsoft によると、Kubernetes は依然として ARP (Address Resolution Protocol) ポイズニングを受けやすいため、攻撃者はクラスター内のアプリを偽装してアクセスを取得する可能性があります。

PostgreSQL の構成の問題を軽減するには、プロジェクトの セキュリティに関する推奨事項の Web ページを参照し、提案された対策を適用してください。

最後に、Microsoft によると、Defender for Cloud は PostgreSQL コンテナーの寛大な設定や構成ミスを検出し、ハッカーが悪用する前に管理者がリスクを軽減できるようにします。

サーバーが Kinsing に感染した PostgreSQL 管理者向けに、BigBinary の Sreeram Venkitesh は、マルウェアがどのようにデバイスに感染し、最終的にどのように削除したかについての記事を書きました。