Công Ty Bảo Mật Wiz Công Bố Phát Hiện Quan Trọng
Công ty bảo mật Wiz vừa công bố một phát hiện quan trọng liên quan đến một nhóm tin tặc có mã danh JINX-0132, đang khai thác các lỗ hổng cấu hình trong các công cụ DevOps để tiến hành các cuộc tấn công đào tiền điện tử quy mô lớn. Các công cụ bị nhắm đến bao gồm HashiCorp Nomad/Consul, Docker API và Gitea, với khoảng 25% môi trường đám mây hiện đang bị đe dọa.
Phương Thức Tấn Công Của Nhóm JINX-0132
Các phương thức tấn công của nhóm này bao gồm:
- Triển khai phần mềm đào XMRig bằng cách sử dụng cấu hình mặc định của Nomad.
- Thực thi các script độc hại thông qua quyền truy cập API Consul không hợp lệ.
- Kiểm soát các API Docker bị lộ để tạo ra các container dùng để đào tiền điện tử.
Theo dữ liệu từ Wiz, có khoảng 5% các công cụ DevOps đang bị lộ trực tiếp ra Internet công cộng, trong khi 30% vẫn tồn tại các lỗi cấu hình. Các nhóm bảo mật khuyến nghị người dùng nhanh chóng cập nhật phần mềm, vô hiệu hóa các tính năng không cần thiết và hạn chế quyền truy cập API để giảm thiểu rủi ro.
Tầm Quan Trọng Của Quản Lý Cấu Hình
Cuộc tấn công này một lần nữa nhấn mạnh tầm quan trọng của việc quản lý cấu hình trong môi trường đám mây. Mặc dù đã có các cảnh báo từ tài liệu chính thức của HashiCorp về những rủi ro liên quan, nhiều người dùng vẫn chưa kích hoạt các tính năng bảo mật cơ bản.
Các chuyên gia nhấn mạnh rằng những điều chỉnh cấu hình đơn giản có thể ngăn chặn hầu hết các cuộc tấn công tự động.
