Bezbjednosni istraživači iz kompanije Wiz su u ponedjeljak podigli uzbunu nakon što su otkrili malicioznog hakera kako preuzima kontrolu nad pogrešno konfigurisanim DevOps sistemima radi rudarenja kriptovaluta, u onome što izgleda kao prvo dokumentovano zloupotrebljavanje HashiCorp Nomad servera u divljini.
Kampanja, aktivna najmanje od aprila, takođe koristi izložene Consul panele, Docker Engine API-je i Gitea instance za hostovanje koda, kako bi širila open-source XMRig rudar, koji se preuzima direktno sa javnih GitHub objava kako bi se izbjeglo ostavljanje očiglednih forenzičkih tragova.
Prema dokumentaciji kompanije Wiz, hakeri zloupotrebljavaju API za raspoređivanje poslova na HashiCorp Nomad sistemima kada administratori ostave scheduler u podrazumijevanom, neautentifikovanom stanju.
Iz Wiz-a navode da su njihovi analitičari posmatrali kako napadači ubacuju shell komande koje preuzimaju i pokreću Monero rudar, a zatim ponavljaju ovaj postupak kroz desetine nasumično imenovanih poslova.
Wiz dodaje da Consul-ovi testovi zdravlja servisa, Docker-ov nezaštićeni TCP priključak i više odavno zakrpljenih ranjivosti u Gitea-i pružaju slične mogućnosti za daljinsko izvršavanje koda kada su ostavljeni izloženi.
Ova kompanija za bezbjednost u cloud-u navodi da njihova telemetrija sugeriše da četvrtina cloud okruženja koristi barem jedan od ovih DevOps alata, od kojih je oko 5% direktno dostupno sa interneta, a skoro trećina tih dostupnih instanci je potpuno nezaštićena zbog loših podrazumijevanih postavki ili propuštene zaštite.
„Među tim izloženim instancama, 30% je pogrešno konfigurisano,” upozoravaju iz Wiz-a.
U jednom slučaju, istraživači Wiz-a navode da su napadači iskoristili Nomad klaster sa stotinama klijenata, čiji bi kombinovani CPU i RAM resursi koštali „desetine hiljada dolara mjesečno“ da su legalno plaćeni, a umjesto toga su korišćeni za rudarenje kriptovalute u korist jedne jedine novčanik adrese.
„Ključna karakteristika metodologije ovog hakera jeste namjerno izbjegavanje jedinstvenih, tradicionalnih identifikatora koji bi mogli da se koriste kao IOC-evi (indikatori kompromitacije). Umjesto toga, alati se preuzimaju direktno sa javnih GitHub repozitorijuma, koristeći standardna izdanja XMRig-a umjesto prilagođenog malvera,” navodi se iz Wiz-a.
Kompanija preporučuje zaključavanje Nomad i Consul sistema pomoću ACL-ova, redovno ažuriranje Gitea platforme i nikada ne izlagati Docker API direktno internetu.
„Zloupotrebu pogrešne konfiguracije od strane hakera odbrambeni timovi često mogu da ne primijete, naročito ako pogođena aplikacija nije poznata kao napadni vektor,” navode istraživači Wiz-a.
Izvor: SecurityWeek
