Microsoft met en garde : les cybercriminels exploitent la faille d'OpenMetadata pour exploiter la crypto-monnaie

Les vulnérabilités OpenMetadata non corrigées, révélées en mars, sont activement exploitées par des acteurs malveillants pour accéder aux environnements Kubernetes et installer des logiciels malveillants de crypto-minage. Ces vulnérabilités permettent aux attaquants de contourner l'authentification, d'exécuter du code à distance et de voler les informations d'identification AWS pour exploiter la crypto-monnaie sur les ressources des victimes. Microsoft recommande aux administrateurs de mettre à jour les images OpenMetadata vers la dernière version et de mettre en œuvre une authentification forte pour atténuer ces risques.

Cybercriminals Exploit OpenMetadata Vulnerabilities to Mine Cryptocurrency, Microsoft Warns

Les cybercriminels exploitent les vulnérabilités d’OpenMetadata pour exploiter la crypto-monnaie, prévient Microsoft

In a chilling exposé, Microsoft has unveiled a disturbing trend: cybercriminals are actively exploiting vulnerabilities in OpenMetadata, an open-source software suite, to mine cryptocurrency at the expense of unsuspecting victims. These exploits, which have been ongoing since early April, are targeting Kubernetes environments where OpenMetadata is deployed without the necessary security patches.

Dans un exposé effrayant, Microsoft a dévoilé une tendance inquiétante : les cybercriminels exploitent activement les vulnérabilités d’OpenMetadata, une suite logicielle open source, pour exploiter des cryptomonnaies aux dépens de victimes sans méfiance. Ces exploits, qui durent depuis début avril, ciblent les environnements Kubernetes où OpenMetadata est déployé sans les correctifs de sécurité nécessaires.

Unpatched OpenMetadata Systems: A Gateway for Malicious Actors

Systèmes OpenMetadata non corrigés : une passerelle pour les acteurs malveillants

OpenMetadata vulnerabilities, disclosed in March, encompass a range of critical and high-severity flaws that can be exploited to bypass authentication and gain remote code execution (RCE) within OpenMetadata deployments. Microsoft's threat intelligence team has identified five specific CVEs that are being leveraged in these attacks:

Les vulnérabilités OpenMetadata, révélées en mars, englobent une série de failles critiques et de haute gravité qui peuvent être exploitées pour contourner l'authentification et obtenir l'exécution de code à distance (RCE) dans les déploiements OpenMetadata. L'équipe de renseignement sur les menaces de Microsoft a identifié cinq CVE spécifiques qui sont exploités dans ces attaques :

• CVE-2024-28255: Critical improper authentication vulnerability (CVSS: 9.8)
• CVE-2024-28847: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28253: Critical code-injection vulnerability (CVSS: 9.4)
• CVE-2024-28848: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28254: OS command injection vulnerability (CVSS: 8.8)

These vulnerabilities provide attackers with a gateway into vulnerable systems, allowing them to penetrate OpenMetadata containers and execute malicious commands. The attackers' primary objective is to surreptitiously mine cryptocurrency using the victims' computing resources.

CVE-2024-28255 : Vulnérabilité critique d'authentification incorrecte (CVSS : 9.8)CVE-2024-28847 : Vulnérabilité d'injection de code de haute gravité (CVSS : 8.8)CVE-2024-28253 : Vulnérabilité critique d'injection de code (CVSS : 9.4)CVE -2024-28848 : vulnérabilité d'injection de code de haute gravité (CVSS : 8.8)CVE-2024-28254 : vulnérabilité d'injection de commande du système d'exploitation (CVSS : 8.8)Ces vulnérabilités fournissent aux attaquants une passerelle vers des systèmes vulnérables, leur permettant de pénétrer dans les conteneurs OpenMetadata et exécuter des commandes malveillantes. L’objectif principal des attaquants est d’exploiter subrepticement des cryptomonnaies en utilisant les ressources informatiques des victimes.

The Attack Sequence: A Step-by-Step Account

La séquence d'attaque : un récit étape par étape

The attack sequence begins with attackers scanning for Kubernetes-based deployments of OpenMetadata that are exposed to the internet. Once they identify vulnerable systems, they exploit the unpatched CVEs to gain access to the container. From there, they execute a series of commands to gather intelligence about the victim's environment, including network and hardware configuration, OS version, and active users.

La séquence d’attaque commence par la recherche par les attaquants des déploiements d’OpenMetadata basés sur Kubernetes et exposés sur Internet. Une fois qu'ils ont identifié les systèmes vulnérables, ils exploitent les CVE non corrigés pour accéder au conteneur. À partir de là, ils exécutent une série de commandes pour recueillir des informations sur l'environnement de la victime, notamment la configuration réseau et matérielle, la version du système d'exploitation et les utilisateurs actifs.

"As part of the reconnaissance phase, the attackers read the environment variables of the workload," explained Microsoft security experts Hagai Ran Kestenberg and Yossi Weizman. "Those variables may contain connection strings and credentials for various services used for OpenMetadata operation, which could lead to lateral movement to additional resources."

"Dans le cadre de la phase de reconnaissance, les attaquants lisent les variables d'environnement de la charge de travail", ont expliqué les experts en sécurité de Microsoft Hagai Ran Kestenberg et Yossi Weizman. "Ces variables peuvent contenir des chaînes de connexion et des informations d'identification pour divers services utilisés pour le fonctionnement d'OpenMetadata, ce qui pourrait conduire à un mouvement latéral vers des ressources supplémentaires."

Crypto-Malware Deployment and Remote Access

Déploiement de crypto-malwares et accès à distance

Once they have gained a foothold, the attackers download crypto-mining malware from a remote server in China. In some cases, the attackers have even left behind a desperate plea, hoping to evoke sympathy from their victims:

Une fois implantés, les attaquants téléchargent des logiciels malveillants de crypto-minage à partir d’un serveur distant en Chine. Dans certains cas, les assaillants ont même laissé derrière eux un appel désespéré, espérant susciter la sympathie de leurs victimes :

"Hi man. I've seen several organizations report my Trojan recently. Please let me go. I want to buy a car. That's all. I don't want to hurt others. I can't help it. My family is very poor. In China, it's hard to buy a suite. I don't have any accommodation. I don't want to do anything illegal. Really, really if you are interested, you can give me XMR, my address is…"

"Salut mec. J'ai vu plusieurs organisations signaler mon cheval de Troie récemment. S'il vous plaît, laissez-moi partir. Je veux acheter une voiture. C'est tout. Je ne veux pas blesser les autres. Je n'y peux rien. Ma famille est très pauvre. En Chine, c'est difficile d'acheter une suite. Je n'ai pas de logement. Je ne veux rien faire d'illégal. Vraiment, si tu es intéressé, tu peux me donner XMR, mon adresse est…"

It remains unclear whether this sob story has swayed any victims into transferring Monero crypto-coins to the attackers.

On ne sait toujours pas si cette histoire sanglante a incité des victimes à transférer les crypto-monnaies Monero aux attaquants.

After deploying the mining malware, the attackers establish a reverse shell connection using Netcat to maintain remote access to the container. Additionally, they install cronjobs for scheduling, ensuring that the malware will execute at predetermined times.

Après avoir déployé le malware minier, les attaquants établissent une connexion shell inversée à l'aide de Netcat pour maintenir l'accès à distance au conteneur. De plus, ils installent des tâches cron pour la planification, garantissant ainsi que le malware s'exécutera à des moments prédéterminés.

Protecting Against Crypto-Mining Exploits

Se protéger contre les exploits de crypto-minage

Microsoft strongly urges administrators running OpenMetadata workloads in their Kubernetes clusters to ensure that the image is up to date. If OpenMetadata is exposed to the internet, strong authentication measures should be implemented, and default credentials should be avoided.

Microsoft exhorte fortement les administrateurs exécutant des charges de travail OpenMetadata dans leurs clusters Kubernetes à s'assurer que l'image est à jour. Si OpenMetadata est exposé à Internet, des mesures d’authentification forte doivent être mises en œuvre et les informations d’identification par défaut doivent être évitées.

These vulnerabilities serve as a sobering reminder of the importance of timely security patching and the consequences of neglecting software updates. Organizations are advised to adopt a proactive approach to vulnerability management to mitigate the risks posed by malicious actors.

Ces vulnérabilités nous rappellent l’importance de l’application rapide des correctifs de sécurité et les conséquences de la négligence des mises à jour logicielles. Il est conseillé aux organisations d'adopter une approche proactive de la gestion des vulnérabilités afin d'atténuer les risques posés par les acteurs malveillants.