Kubernetes

Хакерската група Storm-1977 е провела редица атаки към образователни облачни акаунти с цел нелегално добиване на криптовалута. Microsoft съобщи, че нападателите използват компрометирани акаунти, за да създадат стотици контейнери. Инфраструктурата на жертвите се използва за разгръщане на мащабни криптомайнинг операции.

Пробивът започва чрез password spraying атаки – масово пробване на често използвани пароли върху множество акаунти. След получаване на достъп до гост акаунт, нападателите създават нови ресурсни групи и внедряват контейнери. Използват се и инструменти за автоматизация като AzureChecker.exe, който улеснява атаката към множество цели.

При успешен пробив нападателите придобиват контрол върху ресурсни групи, контейнери и Kubernetes клъстери. Те могат да използват уязвимости в контейнерни изображения и настройки за поемане на допълнителен контрол. Компрометираният облак остава изложен на рискове от злоупотреба, кражба на данни и допълнителни атаки.

Подобни инциденти могат да доведат до сериозни финансови загуби за учебните институции, включително неоторизирани разходи и санкции. Нарушаването на нормалната работа на образователните услуги би засегнало както административните системи, така и учебния процес. Профилактичната сигурност на облачните среди става критично важна.

Потребителите на Kubernetes, използващи популярния контролер Ingress NGINX, веднага трябва да инсталират пачове на четири новооткрити уязвимости. Те позволяват изпълнение на отдалечен код (RCE) и са с оценка на сериозност 9,8 от 10.

Wiz Security ги обединява под името „IngressNightmare“. Те засягат контролера, който е предназначен за насочване на външен трафик към съответните услуги на платформата.

Уязвимостите засягат 43% от всички облачни среди, включително много компании от класацията Fortune 500.

За да предпазят системите си, администраторите на Kubernetes трябва:

• да обновят контролера Ingress NGINX до версии 1.12.1 и 1.11.5;
• да се уверят, че крайната точка на admission webhook не е изложена на външен достъп.

Microsoft отстрани общо 58 уязвимости в рамките на Patch Tuesday за декември 2020 г. Броят на „кръпките“ всъщност е доста малък, сравнено с предходни месеци.

Само 9 от уязвимостите са категоризирани като критични. Сред тях са няколко, които засягат Microsoft Dynamics 365 (CVE-2020-17158 и CVE-2020-17152),  Microsoft Exchange (CVE-2020-17117, CVE-2020-17132 и CVE-2020-17142) и Microsoft SharePoint (CVE-2020-17121 иCVE-2020-17118).

Интересна е още препоръката, свързана с уязвимост, която засяга Windows DNS Resolver. Става дума за възможно DNS кеширане, причинено от фрагментация на IP.

Други „закърпени“ уязвимости с декемврийския ъпдейт, са на Adobe, OpenSSL, IBM, SAP, Kubernetes.