Microsoftが警告：サイバー犯罪者がOpenMetadataの欠陥を悪用して仮想通貨をマイニング

3 月に公開されたパッチが適用されていない OpenMetadata の脆弱性は、悪意のある攻撃者によって積極的に悪用され、Kubernetes 環境にアクセスし、暗号化マイニング マルウェアをインストールしています。これらの脆弱性により、攻撃者は認証をバイパスし、リモートでコードを実行し、AWS 認証情報を盗んで被害者のリソース上で暗号通貨をマイニングすることが可能になります。 Microsoft では、管理者が OpenMetadata イメージを最新バージョンに更新し、強力な認証を実装してこれらのリスクを軽減することを推奨しています。

Cybercriminals Exploit OpenMetadata Vulnerabilities to Mine Cryptocurrency, Microsoft Warns

サイバー犯罪者がOpenMetadataの脆弱性を悪用して仮想通貨をマイニングしているとMicrosoftが警告

In a chilling exposé, Microsoft has unveiled a disturbing trend: cybercriminals are actively exploiting vulnerabilities in OpenMetadata, an open-source software suite, to mine cryptocurrency at the expense of unsuspecting victims. These exploits, which have been ongoing since early April, are targeting Kubernetes environments where OpenMetadata is deployed without the necessary security patches.

マイクロソフトは、ぞっとするような暴露の中で、不穏な傾向を明らかにしました。それは、サイバー犯罪者がオープンソース ソフトウェア スイートである OpenMetadata の脆弱性を積極的に悪用し、疑うことを知らない被害者を犠牲にして暗号通貨をマイニングしているということです。これらのエクスプロイトは 4 月初旬から継続しており、必要なセキュリティ パッチが適用されていない OpenMetadata がデプロイされている Kubernetes 環境を標的としています。

Unpatched OpenMetadata Systems: A Gateway for Malicious Actors

パッチが適用されていない OpenMetadata システム: 悪意のある攻撃者へのゲートウェイ

OpenMetadata vulnerabilities, disclosed in March, encompass a range of critical and high-severity flaws that can be exploited to bypass authentication and gain remote code execution (RCE) within OpenMetadata deployments. Microsoft's threat intelligence team has identified five specific CVEs that are being leveraged in these attacks:

3 月に公開された OpenMetadata の脆弱性には、認証をバイパスし、OpenMetadata 展開内でリモート コード実行 (RCE) を取得するために悪用される可能性のある、重大かつ重大度の高い一連の欠陥が含まれています。 Microsoft の脅威インテリジェンス チームは、これらの攻撃に悪用されている 5 つの具体的な CVE を特定しました。

• CVE-2024-28255: Critical improper authentication vulnerability (CVSS: 9.8)
• CVE-2024-28847: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28253: Critical code-injection vulnerability (CVSS: 9.4)
• CVE-2024-28848: High-severity code-injection vulnerability (CVSS: 8.8)
• CVE-2024-28254: OS command injection vulnerability (CVSS: 8.8)

These vulnerabilities provide attackers with a gateway into vulnerable systems, allowing them to penetrate OpenMetadata containers and execute malicious commands. The attackers' primary objective is to surreptitiously mine cryptocurrency using the victims' computing resources.

CVE-2024-28255: 重大な不適切な認証の脆弱性 (CVSS: 9.8)CVE-2024-28847: 高重大度のコード挿入の脆弱性 (CVSS: 8.8)CVE-2024-28253: 重大なコード挿入の脆弱性 (CVSS: 9.4)CVE -2024-28848: 重大度の高いコード インジェクションの脆弱性 (CVSS: 8.8)CVE-2024-28254: OS コマンド インジェクションの脆弱性 (CVSS: 8.8)これらの脆弱性は、攻撃者に脆弱なシステムへのゲートウェイを提供し、OpenMetadata コンテナに侵入し、悪意のあるコマンドを実行します。攻撃者の主な目的は、被害者のコンピューティング リソースを使用して暗号通貨を密かにマイニングすることです。

The Attack Sequence: A Step-by-Step Account

攻撃シーケンス: ステップバイステップのアカウント

The attack sequence begins with attackers scanning for Kubernetes-based deployments of OpenMetadata that are exposed to the internet. Once they identify vulnerable systems, they exploit the unpatched CVEs to gain access to the container. From there, they execute a series of commands to gather intelligence about the victim's environment, including network and hardware configuration, OS version, and active users.

攻撃シーケンスは、攻撃者がインターネットに公開されている OpenMetadata の Kubernetes ベースのデプロイメントをスキャンすることから始まります。脆弱なシステムを特定すると、パッチが適用されていない CVE を悪用してコンテナにアクセスします。そこから一連のコマンドを実行して、ネットワークとハードウェアの構成、OS のバージョン、アクティブ ユーザーなど、被害者の環境に関する情報を収集します。

"As part of the reconnaissance phase, the attackers read the environment variables of the workload," explained Microsoft security experts Hagai Ran Kestenberg and Yossi Weizman. "Those variables may contain connection strings and credentials for various services used for OpenMetadata operation, which could lead to lateral movement to additional resources."

Microsoft のセキュリティ専門家である Hagai Ran Kestenberg 氏と Yossi Weizman 氏は、「偵察段階の一環として、攻撃者はワークロードの環境変数を読み取ります」と説明しています。 「これらの変数には、OpenMetadata の操作に使用されるさまざまなサービスの接続文字列と資格情報が含まれている可能性があり、追加のリソースへの横方向の移動につながる可能性があります。」

Crypto-Malware Deployment and Remote Access

暗号化マルウェアの展開とリモート アクセス

Once they have gained a foothold, the attackers download crypto-mining malware from a remote server in China. In some cases, the attackers have even left behind a desperate plea, hoping to evoke sympathy from their victims:

攻撃者は足場を築くと、中国のリモート サーバーから仮想通貨マイニング マルウェアをダウンロードします。場合によっては、攻撃者は被害者の同情を呼び起こしたいと考えて、次のような必死の嘆願を残していることもあります。

"Hi man. I've seen several organizations report my Trojan recently. Please let me go. I want to buy a car. That's all. I don't want to hurt others. I can't help it. My family is very poor. In China, it's hard to buy a suite. I don't have any accommodation. I don't want to do anything illegal. Really, really if you are interested, you can give me XMR, my address is…"

「やあ。最近、いくつかの組織が私のトロイの木馬を報告しているのを見た。私を解放してほしい。車を買いたい。それだけだ。他人を傷つけたくない。どうすることもできない。私の家族はとても親切だ」可哀想だよ、中国ではスイートを買うのは難しいんだ。本当に、違法なことはしたくないんだ。もし興味があるなら、私の住所を教えてほしい。」

It remains unclear whether this sob story has swayed any victims into transferring Monero crypto-coins to the attackers.

このすすり泣きの話が被害者の誰かを動かして、モネロ暗号コインを攻撃者に送金させたかどうかは不明のままだ。

After deploying the mining malware, the attackers establish a reverse shell connection using Netcat to maintain remote access to the container. Additionally, they install cronjobs for scheduling, ensuring that the malware will execute at predetermined times.

マイニング マルウェアを展開した後、攻撃者は Netcat を使用してリバース シェル接続を確立し、コンテナへのリモート アクセスを維持します。さらに、スケジューリング用の cron ジョブをインストールし、マルウェアがあらかじめ決められた時間に実行されるようにします。

Protecting Against Crypto-Mining Exploits

仮想通貨マイニングエクスプロイトからの保護

Microsoft strongly urges administrators running OpenMetadata workloads in their Kubernetes clusters to ensure that the image is up to date. If OpenMetadata is exposed to the internet, strong authentication measures should be implemented, and default credentials should be avoided.

Microsoft は、Kubernetes クラスターで OpenMetadata ワークロードを実行している管理者に対し、イメージが最新であることを確認することを強く推奨します。 OpenMetadata がインターネットに公開される場合は、強力な認証手段を実装し、デフォルトの資格情報を回避する必要があります。

These vulnerabilities serve as a sobering reminder of the importance of timely security patching and the consequences of neglecting software updates. Organizations are advised to adopt a proactive approach to vulnerability management to mitigate the risks posed by malicious actors.

これらの脆弱性は、セキュリティ パッチをタイムリーに適用することの重要性と、ソフトウェアの更新を無視した場合の結果を厳粛に思い出させるものとして機能します。組織は、悪意のある攻撃者によってもたらされるリスクを軽減するために、脆弱性管理に積極的なアプローチを採用することをお勧めします。