Pagkilala sa JINX-0132 at ang kanilang mga Pag-atake
Natukoy ng security firm na Wiz ang isang grupo ng mga hacker na kilala sa pangalang JINX-0132, na nanghihimasok sa mga kahinaan ng konfigurasyon sa mga DevOps tools para sa malakihang pag-atake sa cryptocurrency mining.
Mga Target na Tool at Panganib
Kasama sa mga target na tool ang HashiCorp Nomad/Consul, Docker API, at Gitea, kung saan humigit-kumulang 25% ng mga cloud environment ang nanganganib. Ang mga pamamaraan ng pag-atake ay naglalaman ng:
- Pag-deploy ng XMRig mining software gamit ang default na konfigurasyon ng Nomad.
- Pagpapatupad ng mga malisyosong script sa pamamagitan ng hindi awtorisadong access sa Consul API.
- Pagkontrol sa mga exposed na Docker API upang lumikha ng mga mining container.
Kahalagahan ng Tamang Pamamahala sa Konfigurasyon
Ipinapakita ng datos mula sa Wiz na 5% ng mga DevOps tool ay direktang nakalantad sa pampublikong internet, habang 30% naman ang may mga kahinaan sa konfigurasyon. Ipinapayo ng mga security team sa mga gumagamit na:
Agad na i-update ang kanilang software, i-disable ang mga hindi kinakailangang feature, at limitahan ang mga pahintulot sa access ng API upang mabawasan ang panganib.
Itinatampok ng mga pag-atake na ito ang kahalagahan ng maayos na pamamahala sa konfigurasyon ng cloud environment. Sa kabila ng mga babala mula sa opisyal na dokumentasyon ng HashiCorp tungkol sa mga kaugnay na panganib, maraming gumagamit ang hindi nag-enable ng mga pangunahing tampok sa seguridad.
Pagsusuri at Imungkahi ng mga Eksperto
Binibigyang-diin ng mga eksperto na ang simpleng pag-aayos ng konfigurasyon ay makakapigil sa karamihan ng mga automated na pag-atake.
