Home Criptomonedas Kinsing Cryptojacking llega a clústeres Kubernetes a través de PostgreSQL mal configurado

Kinsing Cryptojacking llega a clústeres Kubernetes a través de PostgreSQL mal configurado

Actores de la amenaza detrás de la operación de cryptojacking Kinsing han sido descubiertos explotando servidores PostgreSQL mal configurados y expuestos para obtener acceso inicial a entornos Kubernetes.

Sunders Bruskin, investigador de seguridad de Microsoft Defender for Cloud, explicó en un informe de la semana pasada que una segunda técnica de vector de acceso inicial implica el uso de imágenes vulnerables.

Kinsing tiene una larga historia de ataques a entornos en contenedores, a menudo aprovechando puertos API de demonio Docker abiertos y mal configurados, así como abusando de exploits recientemente revelados para lanzar software de minería de criptomonedas.

En el pasado, también se ha descubierto que el actor de la amenaza empleaba un rootkit para ocultar su presencia, además de terminar y desinstalar servicios y procesos que consumían muchos recursos.

Ahora, según Microsoft, el actor Kinsing ha aprovechado las configuraciones erróneas de los servidores PostgreSQL para hacerse un hueco inicial, y la empresa ha observado una “gran cantidad de clústeres” infectados de esta forma.

La configuración errónea se refiere a un ajuste de autenticación de confianza, que podría ser abusado para conectarse a los servidores sin ningún tipo de autenticación y lograr la ejecución de código si la opción se configura para aceptar conexiones desde cualquier dirección IP.

El vector de ataque alternativo se dirige a servidores con versiones vulnerables de PHPUnit, Liferay, WebLogic y WordPress susceptibles de ejecución remota de código para ejecutar cargas útiles maliciosas.

Además, en una reciente “campaña generalizada”, los atacantes buscaban el puerto 7001 de WebLogic abierto por defecto y, si lo encontraban, ejecutaban un comando shell para lanzar el malware.