Les chercheurs en cybersécurité de Microsoft ont révélé avoir repéré une légère augmentation du déploiement du malware Kinsing (s’ouvre dans un nouvel onglet) sur les serveurs Linux.
Selon le rapport de l’entreprise (s’ouvre dans un nouvel onglet)les attaquants exploitent les faiblesses de Log4Shell et d’Atlassian Confluence RCE dans les images de conteneurs et les conteneurs PostgreSQL mal configurés et exposés pour installer des cryptomineurs sur les terminaux vulnérables.
L’équipe Defender for Cloud de Microsoft a déclaré que les pirates parcouraient ces applications à la recherche de failles exploitables :
- PHPUnit
- Rayon de vie
- Oracle WebLogic
- WordPress
Quant aux failles elles-mêmes, ils cherchaient à exploiter les failles CVE-2020-14882, CVE-2020-14750 et CVE-2020-14883 – RCE dans les solutions d’Oracle.
« Récemment, nous avons identifié une campagne généralisée de Kinsing qui ciblait les versions vulnérables des serveurs WebLogic », affirme Microsoft. « Les attaques commencent par l’analyse d’une large gamme d’adresses IP, à la recherche d’un port ouvert qui correspond au port par défaut de WebLogic (7001). »
Mise à jour des images
Pour rester en sécurité, il est conseillé aux responsables informatiques de mettre à jour leurs images vers les dernières versions et de ne se procurer les images qu’à partir de référentiels officiels.
Les auteurs de menaces adorent déployer des mineurs de crypto-monnaie sur des serveurs. Ces points de terminaison distants sont généralement puissants en termes de calcul, permettant aux pirates de « miner » de grandes quantités de crypto-monnaie sans avoir besoin du matériel nécessaire. De plus, ils éliminent également les coûts d’électricité élevés généralement associés à l’extraction de cryptos.
Les victimes, en revanche, ont beaucoup à perdre. Non seulement leurs serveurs seront rendus inutiles (car l’extraction de crypto est assez lourde en calcul), mais ils généreront également des factures d’électricité élevées. Habituellement, la quantité de cryptos extraites et d’électricité dépensée est disproportionnée, ce qui rend toute l’épreuve encore plus douloureuse.
Pour l’équipe Defender for Cloud de Microsoft, les deux techniques découvertes sont « courantes » dans les attaques réelles contre les clusters Kubernetes.
« Exposer le cluster à Internet sans mesures de sécurité appropriées peut le rendre vulnérable aux attaques de sources externes. De plus, les attaquants peuvent accéder au cluster en tirant parti des vulnérabilités connues dans les images », a déclaré l’équipe.
« Il est important que les équipes de sécurité soient conscientes des conteneurs exposés et des images vulnérables et essaient d’atténuer le risque avant qu’ils ne soient piratés. Comme nous l’avons vu dans ce blog, la mise à jour régulière des images et des configurations sécurisées peut changer la donne pour une entreprise lorsqu’elle essaie d’être aussi protégée que possible contre les failles de sécurité et les expositions à risque.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)