Злоумышленники активно ищут новые векторы атак для компрометации сред Kubernetes. Исследователи из Microsoft обнаружили и проанализировали новую кампанию, в которой эксплуатируются недавно исправленные критические уязвимости в платформе OpenMetadata для получения доступа к рабочим нагрузкам Kubernetes с последующей организацией майнинга криптовалют.
Описание
OpenMetadata представляет собой открытую платформу для централизованного управления метаданными из разнородных источников. Она позволяет пользователям обнаруживать, анализировать и контролировать свои данные. 15 марта 2024 года были опубликованы детали нескольких критических уязвимостей в этой платформе (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848, CVE-2024-28254). Эти уязвимости, затрагивающие версии ранее 1.3.1, позволяют злоумышленникам обходить аутентификацию и выполнять произвольный код удалённо. С начала апреля специалисты Microsoft наблюдают активную эксплуатацию этих уязвимостей именно в средах Kubernetes.
Механика атаки: от проникновения до майнинга
Атака начинается с разведки. Злоумышленники сканируют интернет в поисках доступных извне рабочих нагрузок Kubernetes, на которых развёрнут OpenMetadata. Обнаружив уязвимую версию приложения, они используют цепочку уязвимостей для выполнения кода внутри контейнера.
После первоначального доступа следует этап верификации. Чтобы подтвердить успешное проникновение и проверить сетевое подключение, не вызывая подозрений, атакующие отправляют ping-запросы на уникальные домены в зонах oast[.]me и oast[.]pro. Эти домены связаны с открытым инструментом Interactsh, который часто используется для обнаружения взаимодействий вне полосы. Этот шаг позволяет злоумышленникам убедиться в работоспособности канала связи перед развёртыванием основного вредоносного кода.
Затем атакующие проводят разведку внутри среды. Они выполняют команды для сбора информации о сетевой конфигурации, аппаратном обеспечении, версии операционной системы и активных пользователях. Особый интерес представляют переменные окружения рабочей нагрузки OpenMetadata, так как они могут содержать строки подключения и учётные данные к другим сервисам, открывая путь для горизонтального перемещения по инфраструктуре.
Убедившись в контроле над системой, злоумышленники загружают основной вредоносный код (полезную нагрузку, payload) для майнинга криптовалют с удалённого сервера, расположенного в Китае. Интересно, что на этом сервере хранятся версии майнеров как для Linux, так и для Windows. После загрузки файлу назначаются права на выполнение. Затем майнер запускается, а первоначальные скрипты удаляются для сокрытия следов.
Для обеспечения постоянного доступа атакующие используют несколько методов. Они инициируют обратное соединение с помощью утилиты Netcat, получая полноценную удалённую оболочку для ручного управления. Кроме того, для обеспечения устойчивости (persistence) в системе создаются задания cron, которые позволяют вредоносному коду выполняться через заданные интервалы времени.
Рекомендации по защите и обнаружению
Microsoft настоятельно рекомендует всем клиентам, использующим OpenMetadata, проверить свои кластеры Kubernetes. Необходимо убедиться, что образы обновлены до версии 1.3.1 или новее. Администраторам следует выполнить команду "kubectl get pods --all-namespaces -o=jsonpath='{range .items[*]}{.spec.containers[*].image}{"\n"}{end}' | grep 'openmetadata'" для получения списка всех запущенных образов OpenMetadata и немедленно обновить уязвимые версии.
Если развёртывание OpenMetadata должно быть доступно из интернета, критически важно использовать строгую аутентификацию и избегать учётных данных по умолчанию. Данная атака служит важным напоминанием о необходимости поддержания актуальности всех компонентов в контейнеризированных средах.
Индикаторы компрометации
IPv4
- 61.160.194.160
- 8.130.115.208
- 8.222.144.60
SHA256
- 19a63bd5d18f955c0de550f072534aa7a6a6cc6b78a24fea4cc6ce23011ea01d
- 31cd1651752eae014c7ceaaf107f0bf8323b682ff5b24c683a683fdac7525bad
- 7c6f0bae1e588821bd5d66cd98f52b7005e054279748c2c851647097fa2ae2df
