18 de abril de 2024Sala de prensaSeguridad de contenedores/criptomonedas Los actores de amenazas están explotando activamente vulnerabilidades críticas en OpenMetadata para obtener acceso no autorizado a cargas de trabajo de Kubernetes y aprovecharlas para la actividad de minería de criptomonedas. Esto es según el equipo de Microsoft Threat Intelligence, que dijo que las fallas se han convertido en armas desde principios de abril de 2024. OpenMetadata es una plataforma de código abierto que opera como una herramienta de gestión de metadatos y ofrece una solución unificada para el descubrimiento, la observabilidad y la observación de activos de datos. gobernancia. Las fallas en cuestión, todas descubiertas y atribuidas al investigador de seguridad Álvaro Muñoz, se enumeran a continuación: CVE-2024-28847 (puntuación CVSS: 8,8): una vulnerabilidad de inyección de lenguaje de expresión Spring (SpEL) en PUT /api/v1/events/subscriptions (corregido en la versión 1.2.4) CVE-2024-28848 (puntaje CVSS: 8.8) – Una vulnerabilidad de inyección SpEL en GET /api/v1/policies/validation/condition/ (corregido en la versión 1.2.4) CVE-2024-28253 (puntuación CVSS: 8,8) – Una vulnerabilidad de inyección SpEL en PUT /api/v1/policies (corregido en la versión 1.3.1) CVE-2024-28254 (puntuación CVSS: 8,8 ) – Una vulnerabilidad de inyección SpEL en GET /api/v1/events/subscriptions/validation/condition/ (corregido en la versión 1.2.4) CVE-2024-28255 (puntaje CVSS: 9.8): una vulnerabilidad de omisión de autenticación (corregido en la versión 1.2.4) La explotación exitosa de las vulnerabilidades podría permitir que un actor de amenazas omita la autenticación y logre la ejecución remota de código. . El modus operandi descubierto por Microsoft implica apuntar a cargas de trabajo de OpenMetadata expuestas a Internet que no se han parcheado para obtener la ejecución de código en el contenedor que ejecuta la imagen de OpenMetadata. Al lograr un punto de apoyo inicial, se ha observado que los actores de amenazas realizan actividades de reconocimiento para determinar su nivel de acceso al entorno comprometido y recopilar detalles sobre la configuración de la red y el hardware, la versión del sistema operativo, la cantidad de usuarios activos y las variables del entorno. . «Este paso de reconocimiento implica a menudo contactar con un servicio disponible públicamente», dijeron los investigadores de seguridad Hagai Ran Kestenberg y Yossi Weizman. «En este ataque específico, los atacantes envían solicitudes de ping a dominios que terminan en oast[.]yo y el este[.]pro, que están asociados con Interactsh, una herramienta de código abierto para detectar interacciones fuera de banda». Al hacerlo, la idea es validar la conectividad de la red desde el sistema infiltrado hasta la infraestructura controlada por el atacante sin generar ninguna señal de alerta, dando a los actores de amenazas la confianza para establecer comunicaciones de comando y control (C2) e implementar cargas útiles adicionales. El objetivo final de los ataques es recuperar e implementar una variante de Windows o Linux del malware de criptominería desde un servidor remoto ubicado en China. , dependiendo del sistema operativo, una vez que se inicia el minero, las cargas útiles iniciales se eliminan de la carga de trabajo y los atacantes inician un shell inverso para su servidor remoto utilizando la herramienta Netcat, lo que les permite controlar el sistema. trabajos cron para ejecutar el código malicioso en intervalos predefinidos. Curiosamente, el actor de la amenaza también deja una nota personal en la que dice que es pobre y que necesita el dinero para comprar un coche y una suite. «No quiero hacer nada ilegal», dice la nota. Se recomienda a los usuarios de OpenMetadata que cambien a métodos de autenticación sólidos, eviten el uso de credenciales predeterminadas y actualicen sus imágenes a la última versión. «Este ataque sirve como un valioso recordatorio de por qué es crucial cumplir con las normas y ejecutar cargas de trabajo completamente parcheadas en entornos en contenedores», dijeron los investigadores. El desarrollo se produce cuando los servidores Redis de acceso público que tienen la función de autenticación deshabilitada o tienen fallas sin parchear están siendo destinados a instalar cargas útiles de Metasploit Meterpreter para su posterior explotación. «Cuando se instala Metasploit, el actor de la amenaza puede tomar el control del sistema infectado y también dominar la red interna de una organización utilizando las diversas características que ofrece el malware», dijo el Centro de Inteligencia de Seguridad AhnLab (ASEC). También sigue a un informe de WithSecure que detalla cómo se podría abusar de los permisos de búsqueda en los directorios de Docker para lograr una escalada de privilegios. Vale la pena señalar que el problema (CVE-2021-41091, puntuación CVSS: 6.3) fue señalado previamente por CyberArk en febrero de 2022 y Docker lo solucionó en la versión 20.10.9. «La configuración del bit de búsqueda para otros usuarios en /var/lib/docker/ y directorios secundarios puede permitir que un atacante con pocos privilegios obtenga acceso a los sistemas de archivos de varios contenedores», dijo WithSecure. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.