01/30/2023

ขบวนการ Kinsing โจมตีคลัสเตอร์ผ่านทางการตัว PostgreSQL ที่ไม่ปลอดภัย

พบขบวนการแฮ็กระบบเพื่อแอบขุดเหมืองคริปโตที่ชื่อ Kinsing กำลังเล่นงานเซิร์ฟเวอร์ PostgreSQL ที่ตั้งค่าไม่เหมาะสม จนเปิดช่องให้สามารถเข้าถึงระบบ Kubernetes ที่อยู่เบื้องหลังได้ รวมไปถึงการใช้ช่องโหว่ในไฟล์ภาพต่างๆ บน Kubernetes เองได้ด้วย

ข้อมูลเหล่านี้รายงานโดยนักวิจัยด้านความปลอดภัยชื่อ Sunders Bruskin จาก Microsoft Defender for Cloud โดยก่อนหน้านี้ Kinsing ขึ้นชื่อเรื่องการโจมตีระบบคอนเทนเนอร์โดยเฉพาะอยู่แล้ว ด้วยการอาศัยพอร์ต API ของ Docker Daemon ที่ตั้งค่าไม่ถูกต้องจนเปิดพอร์ตทิ้งไว้ให้เข้าเจาะได้

นอกจากนี้ก็มักสรรหาช่องโหว่ใหม่ๆ สำหรับแอบเข้าไปติดตั้งซอฟต์แวร์ขุดเหมืองเงินคริปโตด้วย อย่างในอดีตจะใช้รูทคิทหลบการตรวจจับ แต่ล่าสุดไมโครซอฟท์พบการใช้การตั้งค่าที่ไม่เหมาะสมบนเซิร์ฟเวอร์ PostgreSQL จนเปิดช่องโหว่ให้เข้าถึงได้จากภายนอกเป็นจำนวนมาก

การตั้งค่านี้เกี่ยวข้องกับการยืนยันตัวตนของทรัสต์ ที่อาจถูกนำไปใช้ในทางที่ไม่ถูกต้องในการเชื่อมต่อกับเซิร์ฟเวอร์ โดยเฉพาะกรณีที่ตั้งให้รับการเชื่อมต่อจากทุกไอพี นอกจากช่องโหว่นี้แล้ว ยังมีการใช้ช่องโหว่จากระบบเวอร์ชั่นเก่าที่ยังไม่แพ็ตช์ของ PHPUnit, Liferay, WebLogic, และ WordPress อีกด้วย

อ่านเพิ่มเติมที่นี่ – THN