Kinsing Crypto恶意软件通过错误配置的PostgreSQL攻击Kubernetes集群

Kinsing加密劫持操作背后的意软威胁行为者被发现利用配置错误和暴露的 PostgreSQL 服务器来获取对 Kubernetes 环境的初始访问权限。

Microsoft Defender for Cloud 的通集群安全研究员桑德斯布鲁斯金上周在一份报告中表示 ，第二种初始访问向量技术需要使用易受攻击的过错攻击图像 。

Kinsing 以容器化环境为目标有着悠久的源码下载误配历史，经常利用错误配置的意软开放式 Docker 守护程序 API 端口以及滥用新披露的漏洞来删除加密货币挖掘软件。

过去，通集群除了终止和卸载竞争性资源密集型服务和进程外，过错攻击还发现威胁行为者使用 Rootkit来隐藏其存在  。误配

现在，云计算意软根据微软的通集群说法， Kinsing 攻击者利用PostgreSQL 服务器中的过错攻击错误配置来获得初步立足点，该公司观察到“大量集群”以这种方式被感染。误配

错误配置与信任身份验证设置有关
，意软如果该选项设置为接受来自任何 IP 地址的通集群连接 ，亿华云则可能会滥用该设置来连接到没有任何身份验证的过错攻击服务器并实现代码执行 。

“一般来说，允许访问范围广泛的 IP 地址会使 PostgreSQL 容器面临潜在威胁，”Bruskin 解释说 。

另一种攻击媒介针对具有易受攻击版本的 PHPUnit、源码库Liferay 、WebLogic 和 Wordpress 的服务器
，这些服务器容易受到远程代码执行的影响 ，以运行恶意负载 。

此外，最近的香港云服务器“广泛活动”涉及攻击者扫描开放的默认 WebLogic 端口 7001，如果找到，则执行 shell 命令以启动恶意软件。

“在没有采取适当安全措施的情况下将集群暴露在互联网上可能会使其容易受到来自外部来源的攻击，”布鲁斯金说。服务器租用“此外 ，攻击者可以利用图像中的已知漏洞来访问集群 。”