Los investigadores de ciberseguridad de Microsoft han revelado que detectaron un aumento en la implementación del malware Kinsing. (se abre en una pestaña nueva) en servidores Linux.
Según el informe de la empresa. (se abre en una pestaña nueva)los atacantes están aprovechando las debilidades de Log4Shell y Atlassian Confluence RCE en imágenes de contenedores y contenedores de PostgreSQL mal configurados y expuestos para instalar criptomineros en puntos finales vulnerables.
El equipo de Microsoft Defender for Cloud dijo que los piratas informáticos estaban revisando estas aplicaciones en busca de fallas explotables:
- Unidad PHP
- vidaray
- Oracle WebLogic
- WordPress
En cuanto a las fallas en sí mismas, buscaban aprovechar las fallas CVE-2020-14882, CVE-2020-14750 y CVE-2020-14883 – RCE en las soluciones de Oracle.
“Recientemente, identificamos una campaña generalizada de Kinsing dirigida a versiones vulnerables de servidores WebLogic”, afirma Microsoft. “Los ataques comienzan con el escaneo de una amplia gama de direcciones IP, buscando un puerto abierto que coincida con el puerto predeterminado de WebLogic (7001)”.
Actualizando las imágenes
Para mantenerse seguros, se recomienda a los administradores de TI que actualicen sus imágenes a las últimas versiones y que solo obtengan las imágenes de los repositorios oficiales.
A los actores de amenazas les encanta implementar mineros de criptomonedas en servidores. Estos puntos finales remotos suelen ser computacionalmente potentes, lo que permite a los piratas informáticos «minar» grandes cantidades de criptomonedas sin necesidad del hardware necesario. Además, también eliminan los altos costos de electricidad generalmente asociados con la minería de criptomonedas.
Las víctimas, por otro lado, tienen mucho que perder. Sus servidores no solo se volverán inútiles (ya que la criptominería es bastante computacional), sino que también generarán facturas de electricidad altas. Por lo general, la cantidad de criptomonedas extraídas y la electricidad gastada es desproporcionada, lo que hace que toda la prueba sea mucho más dolorosa.
Para el equipo de Microsoft Defender for Cloud, las dos técnicas descubiertas son «comúnmente vistas» en ataques del mundo real en clústeres de Kubernetes.
“Exponer el clúster a Internet sin las medidas de seguridad adecuadas puede dejarlo abierto a ataques de fuentes externas. Además, los atacantes pueden obtener acceso al clúster aprovechando las vulnerabilidades conocidas en las imágenes”, dijo el equipo.
“Es importante que los equipos de seguridad estén al tanto de los contenedores expuestos y las imágenes vulnerables y traten de mitigar el riesgo antes de que sean violados. Como hemos visto en este blog, la actualización periódica de imágenes y configuraciones seguras puede cambiar las reglas del juego para una empresa cuando intenta estar lo más protegida posible de las infracciones de seguridad y la exposición riesgosa”.
Vía: BleepingComputer (se abre en una pestaña nueva)