Microsoft warnt: Cyberkriminelle nutzen OpenMetadata-Schwachstelle aus, um Kryptowährungen zu schürfen

Ungepatchte OpenMetadata-Schwachstellen, die im März bekannt wurden, werden von böswilligen Akteuren aktiv ausgenutzt, um Zugriff auf Kubernetes-Umgebungen zu erhalten und Krypto-Mining-Malware zu installieren. Diese Schwachstellen ermöglichen es Angreifern, die Authentifizierung zu umgehen, Code aus der Ferne auszuführen und AWS-Anmeldeinformationen zu stehlen, um Kryptowährungen auf den Ressourcen der Opfer zu schürfen. Microsoft empfiehlt Administratoren, OpenMetadata-Images auf die neueste Version zu aktualisieren und eine starke Authentifizierung zu implementieren, um diese Risiken zu mindern.

Cybercriminals Exploit OpenMetadata Vulnerabilities to Mine Cryptocurrency, Microsoft Warns

Cyberkriminelle nutzen Sicherheitslücken in OpenMetadata aus, um Kryptowährungen zu schürfen, warnt Microsoft

In a chilling exposé, Microsoft has unveiled a disturbing trend: cybercriminals are actively exploiting vulnerabilities in OpenMetadata, an open-source software suite, to mine cryptocurrency at the expense of unsuspecting victims. These exploits, which have been ongoing since early April, are targeting Kubernetes environments where OpenMetadata is deployed without the necessary security patches.

In einer erschreckenden Enthüllung hat Microsoft einen beunruhigenden Trend enthüllt: Cyberkriminelle nutzen aktiv Schwachstellen in OpenMetadata, einer Open-Source-Software-Suite, aus, um Kryptowährungen auf Kosten ahnungsloser Opfer zu schürfen. Diese Exploits, die seit Anfang April andauern, zielen auf Kubernetes-Umgebungen ab, in denen OpenMetadata ohne die erforderlichen Sicherheitspatches bereitgestellt wird.

Unpatched OpenMetadata Systems: A Gateway for Malicious Actors

Ungepatchte OpenMetadata-Systeme: Ein Einfallstor für böswillige Akteure

OpenMetadata vulnerabilities, disclosed in March, encompass a range of critical and high-severity flaws that can be exploited to bypass authentication and gain remote code execution (RCE) within OpenMetadata deployments. Microsoft's threat intelligence team has identified five specific CVEs that are being leveraged in these attacks:

Die im März offengelegten OpenMetadata-Schwachstellen umfassen eine Reihe kritischer und schwerwiegender Schwachstellen, die ausgenutzt werden können, um die Authentifizierung zu umgehen und eine Remote-Codeausführung (RCE) innerhalb von OpenMetadata-Bereitstellungen zu erreichen. Das Threat-Intelligence-Team von Microsoft hat fünf spezifische CVEs identifiziert, die bei diesen Angriffen genutzt werden:

• CVE-2024-28255: Critical improper authentication vulnerability (CVSS: 9.8)
• CVE-2024-28847: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28253: Critical code-injection vulnerability (CVSS: 9.4)
• CVE-2024-28848: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28254: OS command injection vulnerability (CVSS: 8.8)

These vulnerabilities provide attackers with a gateway into vulnerable systems, allowing them to penetrate OpenMetadata containers and execute malicious commands. The attackers' primary objective is to surreptitiously mine cryptocurrency using the victims' computing resources.

CVE-2024-28255: Kritische Sicherheitslücke bei unsachgemäßer Authentifizierung (CVSS: 9.8)CVE-2024-28847: Schwere Sicherheitslücke bei Code-Injection (CVSS: 8.8)CVE-2024-28253: Kritische Sicherheitslücke bei Code-Injection (CVSS: 9.4)CVE -2024-28848: Hochgradige Code-Injection-Schwachstelle (CVSS: 8.8)CVE-2024-28254: Betriebssystem-Befehlsinjektions-Schwachstelle (CVSS: 8.8) Diese Schwachstellen bieten Angreifern ein Einfallstor in anfällige Systeme und ermöglichen ihnen das Eindringen in OpenMetadata-Container und böswillige Befehle ausführen. Das Hauptziel der Angreifer besteht darin, mithilfe der Computerressourcen der Opfer heimlich Kryptowährungen zu schürfen.

The Attack Sequence: A Step-by-Step Account

Die Angriffssequenz: Eine Schritt-für-Schritt-Anleitung

The attack sequence begins with attackers scanning for Kubernetes-based deployments of OpenMetadata that are exposed to the internet. Once they identify vulnerable systems, they exploit the unpatched CVEs to gain access to the container. From there, they execute a series of commands to gather intelligence about the victim's environment, including network and hardware configuration, OS version, and active users.

Die Angriffssequenz beginnt damit, dass Angreifer nach Kubernetes-basierten Bereitstellungen von OpenMetadata suchen, die im Internet verfügbar sind. Sobald sie anfällige Systeme identifiziert haben, nutzen sie die ungepatchten CVEs aus, um Zugriff auf den Container zu erhalten. Von dort aus führen sie eine Reihe von Befehlen aus, um Informationen über die Umgebung des Opfers zu sammeln, einschließlich Netzwerk- und Hardwarekonfiguration, Betriebssystemversion und aktive Benutzer.

"As part of the reconnaissance phase, the attackers read the environment variables of the workload," explained Microsoft security experts Hagai Ran Kestenberg and Yossi Weizman. "Those variables may contain connection strings and credentials for various services used for OpenMetadata operation, which could lead to lateral movement to additional resources."

„Im Rahmen der Aufklärungsphase lesen die Angreifer die Umgebungsvariablen des Workloads“, erklärten die Microsoft-Sicherheitsexperten Hagai Ran Kestenberg und Yossi Weizman. „Diese Variablen können Verbindungszeichenfolgen und Anmeldeinformationen für verschiedene Dienste enthalten, die für den OpenMetadata-Betrieb verwendet werden, was zu einer seitlichen Verschiebung zu zusätzlichen Ressourcen führen könnte.“

Crypto-Malware Deployment and Remote Access

Krypto-Malware-Bereitstellung und Fernzugriff

Once they have gained a foothold, the attackers download crypto-mining malware from a remote server in China. In some cases, the attackers have even left behind a desperate plea, hoping to evoke sympathy from their victims:

Sobald sie Fuß gefasst haben, laden die Angreifer Krypto-Mining-Malware von einem Remote-Server in China herunter. In einigen Fällen haben die Angreifer sogar einen verzweifelten Appell hinterlassen, in der Hoffnung, bei ihren Opfern Mitgefühl zu erwecken:

"Hi man. I've seen several organizations report my Trojan recently. Please let me go. I want to buy a car. That's all. I don't want to hurt others. I can't help it. My family is very poor. In China, it's hard to buy a suite. I don't have any accommodation. I don't want to do anything illegal. Really, really if you are interested, you can give me XMR, my address is…"

„Hallo Mann. Ich habe kürzlich mehrere Organisationen gesehen, die meinen Trojaner gemeldet haben. Bitte lassen Sie mich gehen. Ich möchte ein Auto kaufen. Das ist alles. Ich möchte andere nicht verletzen. Ich kann nichts dagegen tun. Meine Familie ist sehr Arm. In China ist es schwierig, eine Unterkunft zu kaufen. Ich möchte wirklich nichts Illegales tun, Sie können mir wirklich XMR geben, meine Adresse.

It remains unclear whether this sob story has swayed any victims into transferring Monero crypto-coins to the attackers.

Es bleibt unklar, ob diese schluchzende Geschichte Opfer dazu gebracht hat, Monero-Kryptomünzen an die Angreifer zu übertragen.

After deploying the mining malware, the attackers establish a reverse shell connection using Netcat to maintain remote access to the container. Additionally, they install cronjobs for scheduling, ensuring that the malware will execute at predetermined times.

Nach der Bereitstellung der Mining-Malware stellen die Angreifer mithilfe von Netcat eine Reverse-Shell-Verbindung her, um den Fernzugriff auf den Container aufrechtzuerhalten. Darüber hinaus installieren sie Cronjobs zur Planung, um sicherzustellen, dass die Malware zu vorgegebenen Zeiten ausgeführt wird.

Protecting Against Crypto-Mining Exploits

Schutz vor Krypto-Mining-Exploits

Microsoft strongly urges administrators running OpenMetadata workloads in their Kubernetes clusters to ensure that the image is up to date. If OpenMetadata is exposed to the internet, strong authentication measures should be implemented, and default credentials should be avoided.

Microsoft empfiehlt Administratoren, die OpenMetadata-Workloads in ihren Kubernetes-Clustern ausführen, dringend, sicherzustellen, dass das Image auf dem neuesten Stand ist. Wenn OpenMetadata dem Internet ausgesetzt ist, sollten starke Authentifizierungsmaßnahmen implementiert und Standardanmeldeinformationen vermieden werden.

These vulnerabilities serve as a sobering reminder of the importance of timely security patching and the consequences of neglecting software updates. Organizations are advised to adopt a proactive approach to vulnerability management to mitigate the risks posed by malicious actors.

Diese Schwachstellen sind eine ernüchternde Erinnerung an die Bedeutung rechtzeitiger Sicherheitspatches und die Folgen der Vernachlässigung von Software-Updates. Organisationen wird empfohlen, beim Schwachstellenmanagement einen proaktiven Ansatz zu verfolgen, um die von böswilligen Akteuren ausgehenden Risiken zu mindern.