Hackers que parecem ser chineses estão explorando vulnerabilidades na plataforma OpenMetadata executada como cargas de trabalho em clusters Kubernetes para baixar software de criptomineração, alerta a Microsoft.
A gigante da computação, em uma postagem no blog de quarta-feira, disse que um conjunto de vulnerabilidades encadeadas permite que os invasores ignorem a autenticação e obtenham a execução remota de código. A plataforma OpenMetadata visa unificar metadados coletados de múltiplas fontes em uma plataforma centralizada. A Microsoft disse que no início deste mês começou a observar a exploração de vulnerabilidades OpenMetadata em ambientes Kubernetes.
Identificada como CVE-2024-28255 , CVE-2024-28847 , CVE-2024-28253 , CVE-2024-28848 e CVE-2024-28254 , as falhas afetam versões anteriores a 1.3.1.
O ataque parece culminar com hackers baixando software relacionado à criptografia em ambientes Kubernetes a partir de um servidor remoto localizado na China. Os invasores também deixam uma nota às vítimas, pedindo-lhes que não removam o malware. “Olá, cara. Vi várias organizações relatarem meu Trojan recentemente. Por favor, deixe-me ir”, diz a nota. “Eu quero comprar um carro. Só isso.” Também apela às vítimas: “Minha família é muito pobre. Na China é difícil comprar uma suíte”. A nota inclui um endereço de carteira de criptomoeda para doações feitas com a moeda digital monero voltada para a privacidade.
O ataque começa com ataques que provavelmente identificam e visam cargas de trabalho Kubernetes de OpenMetadata expostas à Internet, disse a Microsoft. Depois de explorar as vulnerabilidades para se firmar, a primeira coisa que os invasores fazem é validar e avaliar, enviando solicitações de ping para domínios oast.mee oast.pro. Esses sites são destinados às equipes de segurança para detectar a presença de vulnerabilidades exploráveis em um aplicativo da web, mas os invasores podem usá-los para determinar a conectividade da rede “sem gerar tráfego de saída suspeito que possa acionar alertas de segurança”, disse a Microsoft.
A fase de reconhecimento envolve a procura de variáveis ambientais, incluindo credenciais para serviços usados para OpenMetadata, “o que poderia levar a um movimento lateral para recursos adicionais”.
Neste ponto, os hackers baixam o malware. Eles também iniciam uma conexão shell reversa com seu servidor e programam o software de criptografia para que ele seja executado em segundo plano em intervalos predeterminados.
“Os administradores que executam a carga de trabalho OpenMetadata em seu cluster precisam ter certeza de que a imagem está atualizada. Se o OpenMetadata for exposto à Internet, certifique-se de usar autenticação forte e evite usar as credenciais padrão”, disse a Microsoft.
Por: Prajeet Nair (@prajeetspeaks)
Imagem: Shutterstock
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…
Campanha de phishing com falso e-mail da SSA desativa proteções do Windows e instala ScreenConnect…