Identifiering av Hackergrupp
Säkerhetsföretaget Wiz har identifierat en hackergrupp med kodnamnet JINX-0132 som utnyttjar konfigurationssårbarheter i DevOps-verktyg för storskaliga kryptovaluta-miningattacker.
Riktade Verktyg
De verktyg som riktas in på inkluderar HashiCorp Nomad/Consul, Docker API och Gitea, där cirka 25 % av molnmiljöerna befinner sig i riskzonen.
Attackmetoder
Attackmetoderna involverar:
- Att distribuera XMRig-miningprogramvara med Nomads standardkonfiguration.
- Köra skadliga skript genom obehörig åtkomst till Consul API.
- Kontrollera exponerade Docker API:er för att skapa miningcontainrar.
Riskbedömning
Wiz uppgifter indikerar att:
- 5 % av DevOps-verktygen är direkt exponerade mot det offentliga internet.
- 30 % har konfigurationsfel.
Rekommendationer
Säkerhetsteam rekommenderar att användare:
- Omgående uppdaterar sin programvara.
- Inaktiverar onödiga funktioner.
- Begränsar API-åtkomstbehörigheter för att mildra riskerna.
Vikten av Konfigurationshantering
Denna attack understryker vikten av korrekt konfigurationshantering i molnmiljöer. Trots varningar från HashiCorps officiella dokumentation om relaterade risker har många användare missat att aktivera grundläggande säkerhetsfunktioner.
Experter betonar att enkla konfigurationsjusteringar kan förhindra de flesta automatiserade attacker.
