Los atacantes buscan constantemente nuevas vulnerabilidades para comprometer los entornos de Kubernetes. Microsoft descubrió recientemente un ataque que aprovecha una nueva vulnerabilidad crítica en OpenMetadata para obtener acceso a cargas de trabajo de Kubernetes y utilizarlas para operaciones de minería de criptomonedas.
OpenMetadata es una plataforma de código abierto diseñada para gestionar metadatos de una variedad de fuentes de datos. Sirve como depósito central del linaje de metadatos, lo que permite a los usuarios descubrir, comprender y gestionar sus datos. El 15 de marzo de 2024 se revelaron múltiples vulnerabilidades en la plataforma OpenMetadata. Estas vulnerabilidades (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848, CVE-2024-28254) que afectan a versiones anteriores a la 1.3.1 permiten que un atacante pueda ser aprovechado para eludir autenticación y lograr la ejecución remota de código. Se ha observado que esta vulnerabilidad se explota en entornos de Kubernetes desde principios de abril.
Microsoft recomienda encarecidamente que los clientes verifiquen sus clústeres que ejecutan cargas de trabajo OpenMetadata y se aseguren de que las imágenes estén actualizadas (versión 1.3.1 o posterior). Este blog comparte un análisis del ataque, proporciona orientación para identificar clústeres vulnerables y detectar actividad maliciosa utilizando soluciones de seguridad de Microsoft, como Microsoft Defender para la nube, y ayuda a los defensores a explorar e investigar. Comparta indicadores de compromiso que pueden usarse para.
flujo de ataque
Tras el acceso inicial, un atacante podría identificar y atacar las cargas de trabajo de Kubernetes de OpenMetadata que están expuestas a Internet. Una vez que un atacante ha identificado una versión vulnerable de una aplicación, puede aprovechar la vulnerabilidad para ejecutar código en un contenedor que ejecuta la imagen OpenMetadata vulnerable.
Después de afianzarse, el atacante intenta confirmar una intrusión exitosa y evaluar su nivel de control sobre el sistema comprometido. Este paso de reconocimiento a menudo implica conectarse a servicios disponibles públicamente. En este ataque en particular, el atacante envía una solicitud de ping a un dominio que termina en oast.[.]yo y otros[.]pro está asociado con Interactsh, una herramienta de código abierto para detectar interacciones fuera de banda.
Debido a que el dominio OAST se puede resolver públicamente pero es único, un atacante puede acceder a la red desde un sistema comprometido a la infraestructura del atacante sin generar tráfico saliente sospechoso que podría activar alertas de seguridad. Puede determinar la conexión. Esta técnica es particularmente útil para verificar un ataque exitoso y validar una conexión con una víctima antes de que un atacante establezca un canal de comando y control (C2) y despliegue una carga útil maliciosa.
Después de obtener acceso inicial, el atacante ejecuta una serie de comandos de reconocimiento para recopilar información sobre el entorno de la víctima. Los atacantes consultan información como la configuración de red y hardware, la versión del sistema operativo y los usuarios activos.
Como parte de la fase de reconocimiento, el atacante lee las variables de entorno de la carga de trabajo. Para OpenMetadata, estas variables pueden contener cadenas de conexión y credenciales para varios servicios utilizados para las operaciones de OpenMetadata, lo que puede resultar en un movimiento lateral hacia recursos adicionales.
Una vez que el atacante confirma el acceso y valida la conexión, descarga una carga útil (malware relacionado con la minería de criptomonedas) del servidor remoto. Se confirma que los atacantes utilizan servidores remotos ubicados en China. Los servidores del atacante alojan malware adicional relacionado con la minería de criptomonedas almacenado en los sistemas operativos Linux y Windows.
Figura 1. Malware adicional relacionado con la minería de criptomonedas en los servidores de los atacantes.
Los privilegios del archivo descargado se elevan y se les otorgan privilegios de ejecución. El atacante también añadió una nota personal a la víctima.
Figura 2. Nota del atacante
Luego, el atacante ejecuta el malware relacionado con la minería de criptomonedas descargado y elimina la carga útil inicial de la carga de trabajo. Finalmente, como actividad del teclado, el atacante utiliza la herramienta Netcat para iniciar una conexión de shell inversa a un servidor remoto, lo que permite el acceso remoto al contenedor y un mejor control sobre el sistema. Además, para garantizar la persistencia, los atacantes pueden utilizar cronjobs para programar tareas, lo que permite que se ejecute código malicioso en intervalos predeterminados.
Cómo saber si su clúster es vulnerable
Los administradores que ejecutan cargas de trabajo OpenMetadata en sus clústeres deben asegurarse de que sus imágenes estén actualizadas. Si necesita exponer OpenMetadata a Internet, utilice una autenticación segura y evite el uso de credenciales predeterminadas.
Para obtener una lista de todas las imágenes que se ejecutan en su clúster:
kubectl obtiene pods –all-namespaces -o=jsonpath='{rango .items[*]}{.contenedor.de.especificaciones[*].image}{“\n”}{end}’ | grep ‘openmetadata’
Si tiene un pod con una imagen vulnerable, asegúrese de actualizar la versión de la imagen a la última versión.
Cómo las características de Microsoft Defender para la nube pueden ayudarle
Este ataque es un valioso recordatorio de por qué es importante cumplir con las normas y ejecutar cargas de trabajo completamente parcheadas en entornos en contenedores. También destaca la importancia de una solución de seguridad integral, ya que puede ayudar a detectar actividad maliciosa dentro de un clúster si se explotan nuevas vulnerabilidades en un ataque. En este caso particular, las acciones del atacante activaron una alerta en Microsoft Defender para contenedores, que identificó actividad maliciosa dentro del contenedor. En el siguiente ejemplo, Microsoft Defender para contenedores alerta sobre intentos de iniciar un shell inverso desde un contenedor en un clúster de Kubernetes, como ocurrió en este ataque.
Figura 3. Alerta de Microsoft Defender para contenedores para posible detección de shell inverso
Para evitar este tipo de ataques, Microsoft Defender para contenedores proporciona una evaluación de vulnerabilidades sin agentes para Azure, AWS y GCP para ayudarle a identificar imágenes vulnerables en su entorno antes de que se produzca un ataque. La gestión de la postura de seguridad en la nube (CSPM) de Microsoft Defender le ayuda a priorizar los problemas de seguridad según el riesgo. Por ejemplo, Microsoft Defender CSPM destaca las cargas de trabajo vulnerables expuestas a Internet y permite a las organizaciones remediar rápidamente las amenazas críticas.
Las organizaciones también pueden usar Microsoft Sentinel para monitorear los clústeres de Kubernetes a través de la solución Azure Kubernetes Service (AKS) para Sentinel. Esto proporciona un seguimiento de auditoría detallado de las acciones del usuario y del sistema y ayuda a identificar actividades maliciosas.
Indicadores de compromiso (IoC)
Tipo IoC ejecutable SHA-2567c6f0bae1e588821bd5d66cd98f52b7005e054279748c2c851647097fa2ae2df ejecutable SHA-25619a63bd5d18f955c0de550f072534aa7a6a6cc6b78a 2 4fea4cc6ce23011ea01d ejecutable SHA-25631cd1651752eae014c7ceaaf107f0bf8323b682ff5b24c683a683fdac7525badIP8[.]222[.]144[.]60IP61[.]160[.]194[.]160IP8[.]130[.]115[.]208
Hagai Ran Kestenberg, investigador de seguridad
Yossi Wiseman, director sénior de investigación de seguridad
aprende más
Para conocer las últimas investigaciones de seguridad de Microsoft Threat Intelligence Community, visite el blog de Microsoft Threat Intelligence (https://aka.ms/threatintelblog).
Para recibir notificaciones sobre nuevas publicaciones y participar en debates en las redes sociales, visite LinkedIn (https://www.linkedin.com/showcase/microsoft-threat-intelligence) o X (anteriormente Twitter) (Síguenos en https:// www.linkedin.com/showcase/microsoft-threat-intelligence. https://twitter.com/MsftSecIntel.
Para escuchar historias e ideas de la comunidad de Microsoft Threat Intelligence sobre el panorama de amenazas en constante evolución, escuche el podcast de Microsoft Threat Intelligence en https://thecyberwire.com/podcasts/microsoft-threat-intelligence.
Fuente: https://www.microsoft.com/en-us/security/blog/2024/04/17/attackers-exploiting-new-critical-openmetadata-vulnerabilities-on-kubernetes-clusters/