March 29, 2024

ขบวนการ Kinsing โจมตีคลัสเตอร์ผ่านทางการตัว PostgreSQL ที่ไม่ปลอดภัย

พบขบวนการแฮ็กระบบเพื่อแอบขุดเหมืองคริปโตที่ชื่อ Kinsing กำลังเล่นงานเซิร์ฟเวอร์ PostgreSQL ที่ตั้งค่าไม่เหมาะสม จนเปิดช่องให้สามารถเข้าถึงระบบ Kubernetes ที่อยู่เบื้องหลังได้ รวมไปถึงการใช้ช่องโหว่ในไฟล์ภาพต่างๆ บน Kubernetes เองได้ด้วย

ข้อมูลเหล่านี้รายงานโดยนักวิจัยด้านความปลอดภัยชื่อ Sunders Bruskin จาก Microsoft Defender for Cloud โดยก่อนหน้านี้ Kinsing ขึ้นชื่อเรื่องการโจมตีระบบคอนเทนเนอร์โดยเฉพาะอยู่แล้ว ด้วยการอาศัยพอร์ต API ของ Docker Daemon ที่ตั้งค่าไม่ถูกต้องจนเปิดพอร์ตทิ้งไว้ให้เข้าเจาะได้

นอกจากนี้ก็มักสรรหาช่องโหว่ใหม่ๆ สำหรับแอบเข้าไปติดตั้งซอฟต์แวร์ขุดเหมืองเงินคริปโตด้วย อย่างในอดีตจะใช้รูทคิทหลบการตรวจจับ แต่ล่าสุดไมโครซอฟท์พบการใช้การตั้งค่าที่ไม่เหมาะสมบนเซิร์ฟเวอร์ PostgreSQL จนเปิดช่องโหว่ให้เข้าถึงได้จากภายนอกเป็นจำนวนมาก

การตั้งค่านี้เกี่ยวข้องกับการยืนยันตัวตนของทรัสต์ ที่อาจถูกนำไปใช้ในทางที่ไม่ถูกต้องในการเชื่อมต่อกับเซิร์ฟเวอร์ โดยเฉพาะกรณีที่ตั้งให้รับการเชื่อมต่อจากทุกไอพี นอกจากช่องโหว่นี้แล้ว ยังมีการใช้ช่องโหว่จากระบบเวอร์ชั่นเก่าที่ยังไม่แพ็ตช์ของ PHPUnit, Liferay, WebLogic, และ WordPress อีกด้วย

อ่านเพิ่มเติมที่นี่ – THN