Tietoturvauhat DevOps-työkaluissa
Tietoturvayhtiö Wiz on tunnistanut hakkeriryhmän, koodinimeltään JINX-0132, joka hyödyntää konfiguraatiohaavoittuvuuksia DevOps-työkaluissa laajamittaisissa kryptovaluuttojen louhintahyökkäyksissä.
Kohdistuneet työkalut ja haavoittuvuudet
Kohdistuneet työkalut sisältävät HashiCorp Nomadin/Consulin, Docker API:n ja Gitean, ja noin 25 % pilviympäristöistä on vaarassa.
Hyökkäysmenetelmät
Hyökkäysmenetelmät sisältävät:
- XMRig-louhintasoftan käyttöönoton Nomadin oletuskonfiguraatiolla
- Haitallisten skriptien suorittamisen valtuuttamattoman Consul API:n kautta
- Altistettujen Docker API:en hallinnan louhintakonttien luomiseksi
Haavoittuvuudet ja suositukset
Wiz:n tiedot osoittavat, että 5 % DevOps-työkaluista on suoraan altistettu julkiselle internetille, ja 30 %:lla on konfiguraatio-ongelmia.
Turvatiimit suosittelevat käyttäjiä päivittämään ohjelmistot viipymättä, poistamaan tarpeettomat ominaisuudet käytöstä ja rajoittamaan API-käyttöoikeuksia riskien vähentämiseksi.
Konfiguraationhallinnan tärkeys
Tämä hyökkäys korostaa pilviympäristön konfiguraationhallinnan tärkeyttä. Huolimatta HashiCorpin virallisessa dokumentaatiossa annetuista varoituksista liittyen riskeihin, monet käyttäjät eivät ole ottaneet käyttöön perussuojausominaisuuksia.
Asiantuntijat korostavat, että yksinkertaiset konfiguraatiomuutokset voivat estää suurimman osan automaattisista hyökkäyksistä.
