Possíveis hackers chineses usam OpenMetadata para criptominar

Hackers que parecem ser chineses estão explorando vulnerabilidades na plataforma OpenMetadata executada como cargas de trabalho em clusters Kubernetes para baixar software de criptomineração, alerta a Microsoft.

A gigante da computação, em uma postagem no blog de quarta-feira, disse que um conjunto de vulnerabilidades encadeadas permite que os invasores ignorem a autenticação e obtenham a execução remota de código. A plataforma OpenMetadata visa unificar metadados coletados de múltiplas fontes em uma plataforma centralizada. A Microsoft disse que no início deste mês começou a observar a exploração de vulnerabilidades OpenMetadata em ambientes Kubernetes.

Identificada como CVE-2024-28255 , CVE-2024-28847 , CVE-2024-28253 , CVE-2024-28848 e CVE-2024-28254 , as falhas afetam versões anteriores a 1.3.1.

O ataque parece culminar com hackers baixando software relacionado à criptografia em ambientes Kubernetes a partir de um servidor remoto localizado na China. Os invasores também deixam uma nota às vítimas, pedindo-lhes que não removam o malware. “Olá, cara. Vi várias organizações relatarem meu Trojan recentemente. Por favor, deixe-me ir”, diz a nota. “Eu quero comprar um carro. Só isso.” Também apela às vítimas: “Minha família é muito pobre. Na China é difícil comprar uma suíte”. A nota inclui um endereço de carteira de criptomoeda para doações feitas com a moeda digital monero voltada para a privacidade.

O ataque começa com ataques que provavelmente identificam e visam cargas de trabalho Kubernetes de OpenMetadata expostas à Internet, disse a Microsoft. Depois de explorar as vulnerabilidades para se firmar, a primeira coisa que os invasores fazem é validar e avaliar, enviando solicitações de ping para domínios oast.mee oast.pro. Esses sites são destinados às equipes de segurança para detectar a presença de vulnerabilidades exploráveis ​​em um aplicativo da web, mas os invasores podem usá-los para determinar a conectividade da rede “sem gerar tráfego de saída suspeito que possa acionar alertas de segurança”, disse a Microsoft.

A fase de reconhecimento envolve a procura de variáveis ​​ambientais, incluindo credenciais para serviços usados ​​para OpenMetadata, “o que poderia levar a um movimento lateral para recursos adicionais”.

Neste ponto, os hackers baixam o malware. Eles também iniciam uma conexão shell reversa com seu servidor e programam o software de criptografia para que ele seja executado em segundo plano em intervalos predeterminados.

“Os administradores que executam a carga de trabalho OpenMetadata em seu cluster precisam ter certeza de que a imagem está atualizada. Se o OpenMetadata for exposto à Internet, certifique-se de usar autenticação forte e evite usar as credenciais padrão”, disse a Microsoft.

Por: Prajeet Nair (@prajeetspeaks)
Imagem: Shutterstock