Cyberattaque

Les clusters Kubernetes piratés dans le cadre d’une campagne de logiciels malveillants via PostgreSQL

Par Philippe Ternision , le 10 janvier 2023 , mis à jour le 10 janvier 2023 - 4 minutes de lecture
Qu'est-ce qu'un déploiement Kubernetes ?
5/5 - (1 vote)

En utilisant des vulnérabilités connues dans les images de conteneurs et des conteneurs PostgreSQL exposés et mal configurés, le virus Kinsing s’introduit actuellement activement dans les clusters Kubernetes.

Bien que ces stratégies ne soient pas nouvelles, l’équipe Defender for Cloud de Microsoft a déclaré avoir constaté une augmentation récemment, ce qui suggère que les acteurs de la menace recherchent délibérément des voies d’entrée particulières.

Un malware Linux appelé Kinsing a déjà attaqué des environnements conteneurisés pour le minage de crypto-monnaies, exploitant les ressources matérielles du serveur compromis pour rapporter de l’argent aux acteurs de la menace.

Les acteurs de la menace derrière Kinsing sont connus pour pénétrer les cibles et établir une persistance en utilisant des vulnérabilités connues comme Log4Shell et, plus récemment, un RCE Atlassian Confluence.

Recherche de failles dans les images de conteneurs

Selon Microsoft, on constate une augmentation de l’utilisation de deux techniques par les opérateurs de Kinsing pour obtenir un accès initial à un serveur Linux : l’exploitation de failles dans les images de conteneurs ou de serveurs de bases de données PostgreSQL mal configurés.

Les acteurs de la menace recherchent des failles d’exécution de code à distance qui leur permettent de pousser leurs charges utiles lorsqu’ils tirent parti des vulnérabilités des images.

Les applications suivantes sont ciblées par les acteurs de la menace afin d’obtenir un premier accès, selon la télémétrie de Microsoft Defender for Cloud :

  • PHPUnit
  • Liferay
  • Oracle WebLogic
  • WordPress

Dans les attaques WebLogic, les pirates recherchent les faiblesses d’exécution de code à distance CVE-2020-14882, CVE-2020-14750 et CVE-2020-14883 qui affectent le logiciel d’Oracle.

Selon une étude de Sunders Bruskin, chercheur en sécurité chez Microsoft, “nous avons récemment découvert une campagne massive de Kinsing qui ciblait les versions vulnérables des serveurs WebLogic.”

Les attaques commencent par l’analyse d’un large éventail d’adresses IP à la recherche d’un port ouvert correspondant au port par défaut de WebLogic (7001).

Utiliser les versions les plus récentes des images que vous souhaitez déployer et ne les obtenir qu’auprès de sources réputées, telles que les dépôts officiels, sont les moyens les plus simples d’atténuer ce problème.

Microsoft conseille d’utiliser des listes d’autorisations IP et le principe du moindre privilège pour restreindre l’accès aux conteneurs exposés.

The two attack methods of Kinsing
Les deux méthodes d’attaque de Kinsing (Microsoft)

Attaque de PostgreSQL

Les spécialistes de la sécurité de Microsoft ont remarqué une augmentation du ciblage des serveurs PostgreSQL mal configurés comme deuxième premier canal d’attaque.

Le paramètre “authentification de confiance”, qui encourage PostgreSQL à supposer que “toute personne pouvant se connecter au serveur est autorisée à accéder à la base de données”, est l’une des erreurs de configuration les plus fréquentes dont les attaquants tirent parti.

Une autre erreur consiste à définir une plage d’adresses IP beaucoup trop large, qui inclut toutes les adresses IP que l’attaquant pourrait employer pour accéder au serveur.

Selon Microsoft, Kubernetes est toujours vulnérable à l’empoisonnement ARP (Address Resolution Protocol), de sorte que les attaquants pourraient imiter les applications du cluster pour obtenir un accès même si la configuration de l’accès IP est rigoureuse.

Consultez la page Web des directives de sécurité du projet et mettez en œuvre les mesures suggérées pour réduire les problèmes de configuration de PostgreSQL.

Enfin, selon Microsoft, Defender for Cloud peut identifier les configurations permissives et les erreurs sur les conteneurs PostgreSQL et aider les administrateurs à réduire les risques avant que les pirates n’en profitent.

Sreeram Venkitesh de BigBinary a écrit un billet sur la façon dont le malware s’est infiltré dans leur dispositif et comment ils ont fini par l’éradiquer pour les administrateurs PostgreSQL dont les serveurs sont infectés par Kinsing.

 

 

  • Laplink Software Download Laplink DiskImage Pro 10
    Protégez votre PC à l'aide d'une copie (image) parfaite de toutes vos applications, tous vos fichiers et tous vos réglages. Restaurez rapidement et facilement votre PC et récupérez les fichiers endommagés ou perdus en raison de systèmes corrompus, de virus, de pirates ou d'autres logiciels malveillants. DiskImage restaure même vers un PC possédant un matériel différent en utilisant la fonctionnalité Restaurer indépendamment du matériel. Vous ne vous contentez pas de protéger vos données; vous sécurisez l'ensemble de votre PC. Lorsque vous restaurez une image, la configuration de votre ancien PC est restaurée en même temps que les données, que ce soit sur le même PC ou sur un autre. DiskImage est la solution parfaite pour vous protéger contre les pertes de données imprévisibles. Laplink Software Download Laplink DiskImage Pro 10
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.