La plataforma de código abierto OpenMetadata ha sido objeto de una actividad maliciosa desde principios de abril del 2024. El equipo de inteligencia de amenazas de Microsoft ha revelado que los atacantes están aprovechando vulnerabilidades críticas en OpenMetadata para acceder a cargas de trabajo de Kubernetes y utilizarlas para la minería de criptomonedas. Todos los detalles de estas vulnerabilidades, descubiertas por el investigador de seguridad Alvaro Muñoz, se proporcionan a continuación.
Se ha descubierto que estas vulnerabilidades permiten a los atacantes eludir la autenticación y ejecutar código de forma remota, realizando tareas de reconocimiento para recopilar detalles sobre la configuración de la red, el hardware y el sistema operativo. Los atacantes, según los investigadores de seguridad de Microsoft, continúan apuntando a cargas de trabajo de OpenMetadata expuestas en Internet que aún no han sido parcheadas.
Una vez que los atacantes obtienen un punto de apoyo, validan la conectividad de la red desde el sistema infiltrado a la infraestructura controlada por el atacante sin levantar ninguna sospecha, lo que les da la confianza para establecer comunicaciones de comando y control (C2) e implementar cargas adicionales.
El objetivo final de los ataques es implementar un malware de criptominería de Windows o Linux y eliminar las cargas iniciales de la carga de trabajo. A continuación, los atacantes inician un shell inverso para su servidor remoto utilizando la herramienta Netcat, lo que les permite apropiarse del sistema.
Es importante tener en cuenta que el actor de amenaza también deja una nota personal en la que dice que es pobre y que necesita el dinero para comprar un coche y una suite. Se recomienda a los usuarios de OpenMetadata utilizar métodos de autenticación fuertes, evitar el uso de credenciales predeterminadas y actualizar sus imágenes a la última versión para prevenir estas vulnerabilidades.
Este ataque subraya aún más la importancia de mantener parcheadas las cargas de trabajo en entornos contenedorizados y cumplir con las normas. También es importante recordar que los servidores Redis públicamente accesibles pueden ser objeto de abuso y que se deben tomar medidas adecuadas para protegerse. En resumen, es vital asegurar cargas de trabajo completamente parcheadas y cumplir con las normas para evitar esta actividad maliciosa.
Vía The Hacker News