Hakkerit Hyödyntävät DevOps-työkalujen Haavoittuvuuksia Kryptovaluuttojen Louhintaan

Tietoturvauhat DevOps-työkaluissa

Tietoturvayhtiö Wiz on tunnistanut hakkeriryhmän, koodinimeltään JINX-0132, joka hyödyntää konfiguraatiohaavoittuvuuksia DevOps-työkaluissa laajamittaisissa kryptovaluuttojen louhintahyökkäyksissä.

Kohdistuneet työkalut ja haavoittuvuudet

Kohdistuneet työkalut sisältävät HashiCorp Nomadin/Consulin, Docker API:n ja Gitean, ja noin 25 % pilviympäristöistä on vaarassa.

Hyökkäysmenetelmät

Hyökkäysmenetelmät sisältävät:

XMRig-louhintasoftan käyttöönoton Nomadin oletuskonfiguraatiolla
Haitallisten skriptien suorittamisen valtuuttamattoman Consul API:n kautta
Altistettujen Docker API:en hallinnan louhintakonttien luomiseksi

Haavoittuvuudet ja suositukset

Wiz:n tiedot osoittavat, että 5 % DevOps-työkaluista on suoraan altistettu julkiselle internetille, ja 30 %:lla on konfiguraatio-ongelmia.

Turvatiimit suosittelevat käyttäjiä päivittämään ohjelmistot viipymättä, poistamaan tarpeettomat ominaisuudet käytöstä ja rajoittamaan API-käyttöoikeuksia riskien vähentämiseksi.

Konfiguraationhallinnan tärkeys

Tämä hyökkäys korostaa pilviympäristön konfiguraationhallinnan tärkeyttä. Huolimatta HashiCorpin virallisessa dokumentaatiossa annetuista varoituksista liittyen riskeihin, monet käyttäjät eivät ole ottaneet käyttöön perussuojausominaisuuksia.

Asiantuntijat korostavat, että yksinkertaiset konfiguraatiomuutokset voivat estää suurimman osan automaattisista hyökkäyksistä.

Aiheeseen liittyvät julkaisut

Uusimmat käyttäjältä Blog

Adam Back: Bitcoin on turvallinen huolimatta kvanttitietokoneista vuoteen 2029 mennessä

Bitcoinin turvallisuus ja kvanttitietokoneet Bitcoin-kehittäjä ja Hashcashin luoja Adam Back on vastannut Nic Carterin esittämiin huoliin mahdollisista kvanttitietokoneiden uhista vuoteen 2029 mennessä. Carter ehdotti, että kvanttisysteemien kehitys voisi uhata Bitcoinin kryptografista turvallisuutta.

Alcoa siirtyy myymään Massena East -sulatuslaitoksensa tonttia NYDIG:lle

Alcoan myyntineuvottelut Alcoa on edistyneissä neuvotteluissa myydäkseen Massena East -sulatuslaitoksensa tontin New Yorkin osavaltion pohjoisosassa New York Digital Investment Groupille (NYDIG). Alcoan toimitusjohtaja Bill Oplinger jakoi päivityksen kommenteissaan, jotka raportoitiin perjantaina. Oplinger

Strategia ehdottaa siirtymistä puolikuukausittaisiin osinkoihin STRC-osakkeelle

Muutos osinkoaikataulussa Strategy Inc. on ehdottanut muutosta STRC-etuoikeutettujen osakkeidensa osinkoaikatauluun. Ehdotus sisältää maksujen siirtämisen kuukausittaisesta syklistä puolikuukausittaiseen rakenteeseen, mikä vaatii osakkeenomistajien hyväksynnän. Yhtiö ilmoitti, että muutos voisi johtaa vähentyneeseen uudelleensijoitusviiveeseen, parantuneeseen likviditeettiin,

Oikeus hylkäsi kanteen Caitlyn Jennerin memecoinista

Yhdysvaltain liittovaltion tuomarin päätös Yhdysvaltain liittovaltion tuomari on hylännyt ryhmäkanteen, joka liittyi Caitlyn Jennerin mainostamaan memecoiniin. Oikeus totesi, että vaatimukset eivät täyttäneet lain edellyttämiä kriteerejä, jotta token voitaisiin luokitella arvopaperiksi Yhdysvaltain lain

Kelp-hyökkäys levittää riskiä DeFi:ssä – 293 miljoonaa dollaria menetetty

Kelp ja Kyberhyökkäys Kelp, likvidin restaking-alustan, ilmoitti kyberhyökkäyksestä lauantaina, joka vaikutti sen rsETH-tokenin toimintoihin. Tiimi havaitsi epätavallista ristiin ketjuuntumista ja pysäytti nopeasti älysopimukset pääverkossa sekä useissa Layer-2-järjestelmissä. Hyökkäyksen Yksityiskohdat Alusta totesi, että

SEC:n kryptosuuntaus ei saavuta täyttä vihreää valoa

Yhdysvaltain SEC:n suuntaus kryptovaluuttojen sääntelyssä Yhdysvaltain arvopaperi- ja pörssikomissio (SEC) on ottanut toisen askeleen kohti sallivampaa kryptosuuntausta, mutta se ei ole antanut koko teollisuudelle kattavaa hyväksyntää. Viraston viimeisimmät toimet osoittavat kapeampaa muutosta:

AndX astuu Yhdysvaltojen kryptovaluuttapörssimarkkinoille vuonna 2026 BitGo:n säännellyllä infrastruktuurilla

BitGo ja AndX USA LLC:n yhteistyö BitGo on ilmoittanut, että AndX USA LLC on käynnistänyt Yhdysvaltojen kryptovaluuttapörssin vuonna 2026 hyödyntäen BitGo:n Crypto-as-a-Service -infrastruktuuria. Tämä mahdollistaa globaalille digitaalisten omaisuuserien alustalle toimimisen kaikissa 50

Singapore Gulf Bank laajentaa stablecoineihin nollamaksullisella Solana-yhteydellä

Singapore Gulf Bankin Uusi Stablecoin-Muuntopalvelu Singapore Gulf Bank (SGB) on lanseerannut uuden stablecoin-muuntopalvelun, joka on suunnattu yritys- ja varakkaimmille asiakkaille. Tämä siirto merkitsee vahvempaa pyrkimystä integroida digitaalisia varoja perinteisiin pankkijärjestelmiin. Palvelun Ominaisuudet

Edustaja Sheri Biggs investoi jopa 250 000 dollaria BlackRockin Bitcoin ETF:ään

Edustaja Sheri Biggsin Bitcoin-investointi Edustaja Sheri Biggs (R-SC) paljasti perjantaina, että hän osti viime kuussa jopa 250 000 dollarin arvosta BlackRockin spot Bitcoin ETF:ää (IBIT). Tämä merkitsee konservatiivisen kongressijäsenen viimeisintä vetoa markkinakapitalisaation

Adam Back vs. Charles Edwards: Onko kaivosten siirtyminen tekoälyyn uhka Bitcoinille? – U.Today

Julkaisijoiden siirtyminen tekoälylaskentaan Julkaisijoiden massasiirtyminen kohti tekoälylaskentaa — Charles Edwardsin mukaan Capriolesta, ”kryptotulojen” osuus sektorilla laskee 90 %:sta 30 %:iin vuoteen 2026 mennessä — on synnyttänyt alalla kaksi täysin vastakkaista asiantuntijakantaa verkon