Weave Scope artık bulut ortamlarına yönelik saldırılarda kullanılıyor

  • Oct 23, 2023

Güncellendi: Meşru bulut altyapısı izleme aracı, saldırganların cephaneliğine eklendi.

TeamTNT, bulut ortamlarına sızma arayışında meşru Weave Scope yazılımını saldırı araç setine ekledi.

Güvenlik

  • Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
  • Telefonunuzdaki casus yazılımları bulma ve kaldırma
  • En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
  • Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?

tarafından yayınlanan yeni araştırmaya göre Siber güvenlik firması Intezer Ve Microsoft Bu hafta, Weave Scope'un bulut tabanlı saldırılara ilk kez dahil edilmesi olabilir.

TeamTNT daha önce Docker ve Kubernetes kurulumlarına yönelik saldırılarla ilişkilendirilmişti. Geçtiğimiz ay tehdit aktörleri, kripto para madenciliği yapan bir botnet'e bağlandı. AWS kimlik bilgilerini çalmak sunuculardan. Grubun kötü amaçlı yazılım yüklediği de biliniyor Docker görselleri Docker Hub'a.

Microsoft, Ağustos ortasında tespit edilen kötü amaçlı görüntülerin daha önce görülmemiş bir depodan dağıtıldığını söylüyor.

geçmiş saldırılar. Bir Docker görüntüsü, özellikle de Pause-amd64:3.3, grup tarafından kullanılan kötü amaçlı komut dosyalarını ve ek araçları içeren, Almanya merkezli bir sunucuya bağlanıyor.

Ancak grubun en son gelişimi Weave Scope'un kötüye kullanılmasıdır.

Dokuma İşleri' Örgü Kapsamı Docker, Kubernetes, Dağıtılmış Bulut İşletim Sistemi (DC/OS) ve AWS Elastic için açık kaynaklı görselleştirme ve izleme yazılımıdır Compute Cloud (ECS), kullanıcıların bulut ortamlarındaki konteynerlerin çalışan süreçlerini ve ağ bağlantılarını özel bir ağ aracılığıyla izlemelerine olanak tanır. arayüz. Yazılım ayrıca yöneticilerin kümelerdeki kabukları kök olarak çalıştırmasına da olanak tanır ve varsayılan olarak kimlik doğrulama gerektirmez.

Ayrıca bakınız: 2020'nin en iyi bulut sağlayıcıları: AWS, Microsoft Azure ve Google Cloud, hibrit, SaaS oynatıcıları

Değerli ve meşru bir araç olmasına rağmen TeamTNT, yazılımı bir tür arka kapı olarak dağıtmak için bulut hizmetinin yanlış yapılandırılmasından ve 4040 numaralı bağlantı noktası aracılığıyla verilen açık erişimden yararlanıyor.

Microsoft, "Bu arayüze ve diğer benzer hizmetlere genel erişim sağlayan küme yöneticileri görüyoruz" diyor. "Bu grup [TeamTNT] dahil olmak üzere saldırganlar, bu yanlış yapılandırmadan yararlanıyor ve Kubernetes kümelerini tehlikeye atmak için genel erişimi kullanıyor."

CNET: Profesyonel olmanıza ve yeni bir iş keşfetmenize yardımcı olacak 5 çevrimiçi siber güvenlik kursu

Weave Scope'u yüklemek için TeamTNT öncelikle açıkta kalan bir Docker API'sini bulmaya çalışacaktır. Bunlardan biri keşfedilirse, temiz bir Ubuntu görüntüsü kullanan yeni bir ayrıcalık kapsayıcısı, ana dosya sistemi aracılığıyla bağlanma ve kripto para birimi madencilerini hem yükleme hem de yürütme talimatlarıyla birlikte oluşturulur.

Saldırı zincirinin bir sonraki aşaması, SSH yoluyla tekrar bağlanmak ve Weave Scope'u yüklemek için ana sunucuda yerel ayrıcalıklı bir kullanıcının kurulmasını içerir.

Araştırmacılar, "Saldırganlar, kurbanlarının bulut ortamının haritasını çıkarmak ve sunucuya kötü amaçlı kod yerleştirmeden sistem komutlarını yürütmek için bu aracı yüklüyor" dedi. "Bildiğimiz kadarıyla, saldırganlar bulut altyapısını hedeflemek için yasal üçüncü taraf yazılımları kullanırken ilk kez yakalanıyor."

Temel olarak bu, Weave Scope'un bulut kurulumlarında bir arka kapı görevi görmesine olanak tanır ve saldırganlara sistemleri izleme, uygulamaları yükleme, bilgi işlem kaynaklarını kullanma ve kabukları başlatma, durdurma veya açma yeteneği konteynerler.

TechRepublic: KOBİ'ler siber güvenlikteki temel zorlukların üstesinden nasıl geliyor?

TeamTNT, 4040 numaralı bağlantı noktası üzerinden açığa çıkmaya yol açan yaygın Docker yanlış yapılandırmalarından yararlandığından, araştırmacılar bu sistemi öneriyor yöneticiler bu bağlantı noktasına gelen bağlantıları engeller ve potansiyel olarak bulutta sıfır güven güvenlik uygulamalarını etkinleştirmeyi düşünürler altyapı.

Microsoft, "Yanlış yapılandırılmış hizmetler, Kubernetes kümelerine yönelik saldırılar söz konusu olduğunda en popüler ve tehlikeli erişim vektörleri arasında görünüyor" yorumunu yaptı.

16.38 BST Güncellemesi: Araştırmaya yanıt olarak Weave Works, bir tavsiye yayınladı yöneticilerin aracın kötüye kullanılmasını nasıl önleyebilecekleri hakkında.

2020'nin en büyük hack'leri ve veri ihlalleri (şimdiye kadar)

Önceki ve ilgili kapsam

  • Bulut güvenliği: Çevrimiçi hizmetlere yönelik saldırılardaki artışın arkasında 'şüpheli süper insanlar' var
  • Firmaların çoğunluğu genel bulut güvenliği konusunda endişeli, çoğu ihlale maruz kaldı
  • DevSecOps raporu: Bulut BT karmaşıklığı 'değişmez' güvenlik sorunları yaratıyor

Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0