Usuários de Azure deixam porta aberta para Cryptomining

16/06/2020 mindsecblog Notícias 0

Usuários de Azure deixam porta aberta para Cryptomining. Hackers estão obtendo acesso a sistemas baseados na nuvem e os estão usando para minerar criptomoedas.

Lembra quando, como operador de servidor, você só precisava se preocupar com as pessoas que procuravam portas abertas e depois roubavam segredos por meio de shells de telnet? Aqueles eram os dias, hein?

As coisas ficaram muito mais complicadas quando a nuvem ficou popular. Agora, os hackers estão obtendo acesso a sistemas baseados na nuvem pela Web e os estão usando para minerar criptomoedas. A Microsoft acabou de encontrar uma campanha que explora o Kubernetes para instalar software de criptografia na nuvem do Azure. Isso pode gerar uma moeda louca para os invasores – e custar caro aos usuários legítimos da nuvem.

Os contêineres de software são pequenas coleções de software que são executadas isoladamente, facilitando a coexistência de muitos deles no mesmo sistema. O Kubernetes é um projeto de código aberto que permite aos administradores gerenciar contêineres de software em massa e é executado em infraestruturas de nuvem como o Azure da Microsoft. O Kubeflow é uma estrutura de código aberto que implementa o Tensorflow sobre o Kubernetes, e o Tensorflow é um sistema originalmente desenvolvido pelo Google para o treinamento de sistemas de IA.

Os trabalhos de treinamento em IA precisam de muita capacidade de computação; portanto, eles geralmente usam GPUs (unidades de processamento gráfico), que podem ser processadas rapidamente com cálculos de ponto flutuante. Isso é ótimo para minerar algumas criptomoedas que usam algoritmos de prova de trabalho. Eles também contam com muito poder de computação. Embora as GPUs não sejam apropriadas para minerar todas as provas de criptomoedas baseadas no trabalho, elas são ótimas para algumas como a Monero e (por enquanto, até que uma mudança algorítmica planejada comece) Ethereum.

“configuração incorreta do usuário foi a culpada”

A Central de Segurança do Azure encontrou um contêiner malicioso em execução como parte de uma implementação do Kubeflow. O contêiner estava executando um cryptominer para usar o mesmo poder de computação que o Kubeflow estava usando para treinar a IA. Sorrateiro. Então, como chegou lá?

Como geralmente acontece, a configuração incorreta do usuário foi a culpada. O Kubernetes usa algo chamado Istio, que é uma estrutura para conectar serviços de software baseados em contêiner. Kubeflow usa o Istio para expor um painel administrativo. Por segurança, ele usa algo chamado Istio-ingressgatewaypara fazer isso. Esse serviço só pode ser acessado internamente, e isso é fundamental, porque a única maneira de acessá-lo é através do encaminhamento de porta pela API Kubernetes.

Isso deve tornar a interface de gerenciamento do Kubeflow segura, mas alguns administradores aparentemente modificaram o Istio para tornar o Istio-ingressgatewayacessível diretamente da Internet pública. Isso é conveniente, mas não é uma boa ideia do ponto de vista da segurança, porque significa que os invasores podem ver a interface de gerenciamento da Internet pública. A partir daí, eles poderiam manipular o sistema para instalar seu contêiner malicioso no sistema Kubernetes.

Esta não é a primeira vez que as pessoas invadiram o Kubernetes ou o usaram para minerar criptomoedas. Alguém invadiu uma implantação Tesla Kubernetes Amazon Web Services em 2018, explorando uma console administrativa que não foi protegido por senha e, em seguida, instalou um mineiro no sistema.

Mais recentemente, em abril deste ano, a Microsoft identificou um ataque em larga escala no qual o invasor instalou dezenas de pods maliciosos (coleções de contêineres) em dezenas de clusters (grupos de máquinas que executam contêineres).

No início deste mês, a Sophos também documentou uma campanha de criptografia chamada Kingminer que atacava servidores usando explorações, incluindo RDP de força bruta, o mecanismo usado para acessar máquinas Windows remotamente.

Fonte: nakedsecurity by Sophos

Veja também: