Hakkerit Hyödyntävät DevOps-työkalujen Haavoittuvuuksia Kryptovaluuttojen Louhintaan

Tietoturvauhat DevOps-työkaluissa

Tietoturvayhtiö Wiz on tunnistanut hakkeriryhmän, koodinimeltään JINX-0132, joka hyödyntää konfiguraatiohaavoittuvuuksia DevOps-työkaluissa laajamittaisissa kryptovaluuttojen louhintahyökkäyksissä.

Kohdistuneet työkalut ja haavoittuvuudet

Kohdistuneet työkalut sisältävät HashiCorp Nomadin/Consulin, Docker API:n ja Gitean, ja noin 25 % pilviympäristöistä on vaarassa.

Hyökkäysmenetelmät

Hyökkäysmenetelmät sisältävät:

XMRig-louhintasoftan käyttöönoton Nomadin oletuskonfiguraatiolla
Haitallisten skriptien suorittamisen valtuuttamattoman Consul API:n kautta
Altistettujen Docker API:en hallinnan louhintakonttien luomiseksi

Haavoittuvuudet ja suositukset

Wiz:n tiedot osoittavat, että 5 % DevOps-työkaluista on suoraan altistettu julkiselle internetille, ja 30 %:lla on konfiguraatio-ongelmia.

Turvatiimit suosittelevat käyttäjiä päivittämään ohjelmistot viipymättä, poistamaan tarpeettomat ominaisuudet käytöstä ja rajoittamaan API-käyttöoikeuksia riskien vähentämiseksi.

Konfiguraationhallinnan tärkeys

Tämä hyökkäys korostaa pilviympäristön konfiguraationhallinnan tärkeyttä. Huolimatta HashiCorpin virallisessa dokumentaatiossa annetuista varoituksista liittyen riskeihin, monet käyttäjät eivät ole ottaneet käyttöön perussuojausominaisuuksia.

Asiantuntijat korostavat, että yksinkertaiset konfiguraatiomuutokset voivat estää suurimman osan automaattisista hyökkäyksistä.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

Scaramucci: Stablecoin-säännöt antavat etua Kiinalle

Stablecoin-palkkioiden kieltäminen Anthony Scaramucci ja Brian Armstrong ovat sitä mieltä, että stablecoin-palkkioiden kieltäminen liittyy vähemmän taloudelliseen vakauteen ja enemmän vakiintuneiden pankkien suojelemiseen kilpailulta. Tämä kehitys voisi ohjata kehittyviä markkinoita vaihtoehtoisiin rahajärjestelmiin. Huolenaiheet

Coinbase CEO: Pankit voivat ’voittaa isosti’ omaksumalla kryptoinfrastruktuurin

Coinbase CEO:n näkemykset kryptovaluutoista ja pankeista Äskettäin julkaistussa sosiaalisen median viestissä Coinbase CEO Brian Armstrong on esittänyt, että perinteiset pankit voivat hyötyä merkittävästi kryptovaluutta-infrastruktuurin integroimisesta. Armstrong korosti, että sekä suuret että yhteisöpankit

Elizabeth Warren varoittaa amerikkalaisten voivan menettää paljon kryptovaluuttojen kanssa – U.Today

Elizabeth Warrenin Huolenaiheet Kryptovaluutoista Eläketileissä Senatori Elizabeth Warren on ottanut julkisesti kantaa Yhdysvaltojen äskettäiseen politiikan muutokseen, joka avaa oven kryptovaluuttojen tarjoamiselle 401(k) eläkesuunnitelmissa ja vastaavissa määriteltyjen maksujen tileissä. Hän väittää, että määräys,

Michael Burry paljastaa Bitcoinin hyväntekeväisyyskäytön – U.Today

Michael Burry ja Bitcoinin hyväntekeväisyyskäyttö Hedge-rahaston johtaja Michael Burry, joka nousi maailmanlaajuiseen kuuluisuuteen ennustettuaan oikein vuoden 2008 globaalin talouskriisin, on julkisesti ylistänyt Bitcoinin hyväntekeväisyyskäyttöä. Sosiaalisessa mediassa Burry, joka julkaisee nimimerkillä Cassandra Unchained,

Ripple CTO Emeritus David Schwartz varoittaa copy tradingin riskeistä – Mitkä ovat todelliset vaarat?

Copy Tradingin Piilotetut Riskit Ripple CTO emeritus David Schwartz on varoittanut copy tradingin piilotetuista riskeistä. Tämä varoitus tuli keskustelun myötä, jonka aloitti Coin Metricsin perustaja Nic Carter X:ssä. Carter jakoi X-käyttäjän twiitin,

Huijausvaroitus: 282 miljoonaa dollaria Bitcoinissa ja Litecoinissa menetetty – U.Today

Kryptovarkaus ja sen seuraukset Massiivinen kryptovarkaus on tapahtunut, mikä on johtanut 282 miljoonan dollarin menetykseen sekä Litecoinissa (LTC) että Bitcoinissa (BTC). Varkaus toteutettiin laitteistolompakon sosiaalisen manipuloinnin huijauksen kautta. Lookonchain raportoi huijauksesta X:ssä

Evernorth vie XRP:n suoraan Wall Streetille

Kryptovaluuttojen Esteet Kryptovaluutat ovat pitkään olleet instituutioilta saavuttamattomissa, ja esteinä ovat olleet säilytys-, vaatimustenmukaisuus- ja sääntelyhaasteet. Evernorthin Innovaatio Evernorth aikoo muuttaa tämän tuomalla XRP:n Wall Streetille julkisesti noteerattuna omaisuutena. Evernorth tavoittelee Q1

Bitcoin-botit kilpailevat varoista vaarantuneessa lompakossa, joka on liitetty lohkopalkkioiden tunnisteisiin

Bitcoin-käyttäjän varojen menetys Bitcoin-käyttäjä menetti varojaan lähettäessään kryptovaluuttaa vaarantuneeseen lompakkoon, joka käytti lohkopalkkion transaktiotunnistetta yksityisenä avaimena. Lohkopalkkion transaktiotunniste lohkosta 924,982 toimi lompakon yksityisenä avaimena, mikä loi turvallisuusvajeen, joka laukaisi automatisoitua bottitoimintaa, kertoo

Bitcoin, joka on takavarikoitu Samourai Walletilta, ei ole myyty, Valkoinen Talo vahvistaa

Bitcoinin Takavarikointi ja Realisointi Valkoisen Talon viranomaisen mukaan lähes 6,4 miljoonan dollarin arvoista Bitcoinia, joka on takavarikoitu liittovaltion lainvalvontaviranomaisten toimesta Samourai Walletin kehittäjiltä, ei ole realisoitu, ja se lisätään kansalliseen Bitcoin-varantoon. Ilmoitus

Nasdaq varoittaa Bitcoin-laitteistovalmistaja Canaanista delistauksesta

Bitcoin-laitteistovalmistaja Canaan ja osakekurssivaatimukset Bitcoin-laitteistovalmistaja Canaanilla on aikaa heinäkuuhun nostaa osakekurssiaan ja välttää delistauksen, Nasdaq kertoi yritykselle aiemmin tällä viikolla. Canaanilla on nyt aikaa nostaa osakekurssinsa yli 1 dollarin vähintään kymmenen peräkkäisen