การระบุการโจมตีในเครื่องมือ DevOps
บริษัทด้านความปลอดภัย Wiz ได้ระบุว่ามีกลุ่มแฮ็กเกอร์ที่รหัสว่า JINX-0132 กำลังใช้ประโยชน์จากช่องโหว่ในการตั้งค่าของเครื่องมือ DevOps เพื่อสร้างการโจมตีที่เกี่ยวกับการขุดสกุลเงินดิจิทัลในขนาดใหญ่ โดยเครื่องมือที่ถูกโจมตีรวมถึง HashiCorp Nomad/Consul, Docker API, และ Gitea ซึ่งมีประมาณ 25% ของสภาพแวดล้อมคลาวด์ที่เสี่ยงต่อการถูกโจมตี
วิธีการโจมตี
วิธีการโจมตีประกอบด้วย:
- การใช้งานซอฟต์แวร์ขุด XMRig โดยใช้การตั้งค่าเริ่มต้นของ Nomad
- การดำเนินการสคริปต์ที่เป็นอันตรายผ่านการเข้าถึง Consul API ที่ไม่ได้รับอนุญาต
- การควบคุม Docker APIs ที่ถูกเปิดเผยเพื่อสร้างคอนเทนเนอร์สำหรับการขุด
ข้อมูลจาก Wiz แสดงให้เห็นว่า 5% ของเครื่องมือ DevOps ถูกเปิดเผยต่ออินเทอร์เน็ตสาธารณะโดยตรง ขณะเดียวกัน 30% มีช่องโหว่ในการตั้งค่า
แนะนำการป้องกัน
ทีมงานด้านความปลอดภัยแนะนำให้ผู้ใช้ทำการ:
- อัปเดตซอฟต์แวร์อย่างรวดเร็ว
- ปิดคุณสมบัติที่ไม่จำเป็น
- จำกัดสิทธิ์การเข้าถึง API เพื่อลดความเสี่ยง
การโจมตีนี้เน้นย้ำถึงความสำคัญของการจัดการการตั้งค่าของสภาพแวดล้อมคลาวด์ แม้ว่าจะมีการเตือนจากเอกสารทางการของ HashiCorp เกี่ยวกับความเสี่ยงที่เกี่ยวข้อง แต่ผู้ใช้หลายคนยังไม่ได้เปิดใช้งานคุณสมบัติด้านความปลอดภัยขั้นพื้นฐาน
ผู้เชี่ยวชาญเน้นย้ำว่าการปรับแต่งการตั้งค่าที่ง่ายสามารถป้องกันการโจมตีอัตโนมัติส่วนใหญ่ได้
