黑客利用 OpenMetadata 漏洞在 Kubernetes 上挖掘加密货币
黑客利用 OpenMetadata 漏洞在 Kubernetes 上挖掘加密货币
威胁监测 渗透安全团队 2024-04-22 20:03
OpenMetadata简介
OpenMetadata 是一个
开源平台
,可作为元数据管理工具运行,为数据资产发现、可观测性和治理提供统一的解决方案。
Microsoft 威胁情报团队四月份表示,攻击者利用 OpenMetadata 中的关键漏洞,获取对 Kubernetes 的未经授权的访问,利用它们进行加密货币挖掘活动。并且该漏洞已被武器化利用。
相关漏洞说明
下面列出了有关问题的漏洞
成功利用这些漏洞可以验证并实现远程代码执行。
CVE-2024-28847(CVSS 评分:8.8) - PUT /api/v1/events/subscriptions 中的 Spring Expression Language (SpEL) 注入漏洞(已在版本 1.2.4 中修复)
CVE-2024-28848(CVSS 评分:8.8) - GET /api/v1/policies/validation/condition/<expr> 中的 SpEL 注入漏洞(已在版本 1.2.4 中修复)
CVE-2024-28253(CVSS 评分:8.8) - PUT /api/v1/policies 中的 SpEL 注入漏洞(已在版本 1.3.1 中修复)
CVE-2024-28254(CVSS 评分:8.8) - GET /api/v1/events/subscriptions/validation/condition/<expr> 中的 SpEL 注入漏洞(已在版本 1.2.4 中修复)
CVE-2024-28255(CVSS 评分:9.8) - 身份验证绕过漏洞(已在版本 1.2.4 中修复)
入侵手段
攻击者需要针对未修补的互联网公开的 OpenMetadata 工作负载,在其运行 OpenMetadata 映像的容器上执行代码。
在这次特定攻击中,攻击者向以 oast结尾的域发送 ping 请求,与 Interactsh 相关联,Interactsh 是一种用于检测带外交互的开源工具。
攻击者通过
建立命令和控制(C2)通信并部署额外的有效载荷。
从渗透系统到攻击者控制的基础设施的网络连接。
攻击的最终目标是从位于中国的远程服务器检索和部署加密挖掘恶意软件的 Windows 或 Linux 变体,具体取决于操作系统。一旦启动矿工,初始有效负载就会从工作负载中删除,攻击者使用 Netcat 工具为其远程服务器启动反向 shell,允许他们征用系统。持久性是通过设置 cron 按照预定义的时间间隔运行恶意代码来实现的。
修复措施
建议 OpenMetadata 用户切换到强身份验证方法,避免使用默认凭据,并将镜像更新到最新版本。
★
付费圈子
欢 迎 加 入 星 球 !
代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员
进成员内部群
星球的最近主题和星球内部工具一些展示****
加入安全交流群
[ ](http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247489372&idx=1&sn=5e14ba5fa59059fb1ee405e56ef90d40&chksm=c175eaf3f60263e5ef5415a8a9fc134f0890fdb9c25ab956116d17109baf98b3bd6bed572a2d&scene=21#wechat_redirect)
关 注 有 礼
关注下方公众号回复“
666
”可以领取一套领取黑客成长秘籍
还在等什么?赶紧点击下方名片关注学习吧!
推荐阅读
免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为此
承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦