Bedreigingsactoren maken actief misbruik van kritieke kwetsbaarheden in OpenMetadata om ongeautoriseerde toegang te krijgen tot Kubernetes-workloads en deze te gebruiken voor cryptocurrency-miningactiviteiten.
Dat zegt het Microsoft Threat Intelligence-team, dat zei dat de fouten sinds begin april 2024 zijn bewapend.
OpenMetadata is een open-sourceplatform dat fungeert als tool voor metadatabeheer en een uniforme oplossing biedt voor het ontdekken, observeren en beheren van data-assets.
De gebreken in kwestie – allemaal ontdekt en toegeschreven aan beveiligingsonderzoeker Alvaro Muñoz – staan hieronder opgesomd:
- CVE-2024-28847 (CVSS-score: 8,8) – Een kwetsbaarheid voor injectie van Spring Expression Language (SpEL) in PUT /api/v1/events/subscriptions (opgelost in versie 1.2.4)
- CVE-2024-28848 (CVSS-score: 8,8) – Een SpEL-injectiekwetsbaarheid in GET /api/v1/policies/validation/condition/
(opgelost in versie 1.2.4) - CVE-2024-28253 (CVSS-score: 8,8) – Een kwetsbaarheid voor SpEL-injectie in PUT /api/v1/policies (opgelost in versie 1.3.1)
- CVE-2024-28254 (CVSS-score: 8,8) – Een SpEL-injectiekwetsbaarheid in GET /api/v1/events/subscriptions/validation/condition/
(opgelost in versie 1.2.4) - CVE-2024-28255 (CVSS-score: 9,8) – Een kwetsbaarheid voor het omzeilen van authenticatie (opgelost in versie 1.2.4)
Succesvol misbruik van de kwetsbaarheden kan een bedreigingsacteur in staat stellen authenticatie te omzeilen en code op afstand uit te voeren.
De door Microsoft aan het licht gebrachte modus operandi omvat het targeten van op internet blootgestelde OpenMetadata-workloads die niet zijn gepatcht om code-uitvoering te verkrijgen op de container waarop de OpenMetadata-image draait.
Nadat ze een eerste voet aan de grond hadden gekregen, werd geobserveerd dat de bedreigingsactoren verkenningsactiviteiten uitvoerden om hun toegangsniveau tot de aangetaste omgeving te bepalen en details te verzamelen over de netwerk- en hardwareconfiguratie, de versie van het besturingssysteem, het aantal actieve gebruikers en de omgevingsvariabelen. .
“Deze verkenningsstap houdt vaak in dat er contact wordt opgenomen met een openbaar beschikbare dienst”, aldus beveiligingsonderzoekers Hagai Ran Kestenberg en Yossi Weizman.
“Bij deze specifieke aanval sturen de aanvallers ping-verzoeken naar domeinen die eindigen op oast[.]ik en oester[.]pro, die geassocieerd zijn met Interactsh, een open-source tool voor het detecteren van out-of-band interacties.”
Het idee is daarbij om de netwerkconnectiviteit van het geïnfiltreerde systeem naar de door de aanvaller gecontroleerde infrastructuur te valideren zonder dat er alarmsignalen worden gegenereerd, waardoor bedreigingsactoren het vertrouwen krijgen om command-and-control (C2)-communicatie tot stand te brengen en extra payloads in te zetten.
Het einddoel van de aanvallen is het ophalen en inzetten van een Windows- of Linux-variant van de cryptomining-malware vanaf een externe server in China, afhankelijk van het besturingssysteem.
Zodra de miner is gelanceerd, worden de initiële payloads uit de werklast verwijderd en initiëren de aanvallers een reverse shell voor hun externe server met behulp van de Netcat-tool, waardoor ze het systeem kunnen overnemen. Doorzettingsvermogen wordt bereikt door cronjobs zo in te stellen dat de kwaadaardige code met vooraf gedefinieerde intervallen wordt uitgevoerd.
Interessant is dat de bedreigingsacteur ook een persoonlijk briefje achterlaat waarin staat dat ze arm zijn en dat ze het geld nodig hebben om een auto en een suite te kopen. ‘Ik wil niets illegaals doen’, staat er op het briefje.
OpenMetadata-gebruikers wordt geadviseerd om over te schakelen naar sterke authenticatiemethoden, het gebruik van standaardreferenties te vermijden en hun afbeeldingen bij te werken naar de nieuwste versie.
“Deze aanval herinnert ons er op waardevolle wijze aan waarom het cruciaal is om compliant te blijven en volledig gepatchte workloads uit te voeren in containeromgevingen”, aldus de onderzoekers.
De ontwikkeling komt omdat openbaar toegankelijke Redis-servers waarvan de authenticatiefunctie is uitgeschakeld of niet-gepatchte fouten hebben, het doelwit zijn om Metasploit Meterpreter-payloads te installeren voor post-exploitatie.
“Wanneer Metasploit is geïnstalleerd, kan de bedreigingsacteur de controle over het geïnfecteerde systeem overnemen en ook het interne netwerk van een organisatie domineren met behulp van de verschillende functies die de malware biedt”, aldus het AhnLab Security Intelligence Center (ASEC).
Het volgt ook op een rapport van WithSecure waarin werd beschreven hoe zoekmachtigingen in Docker-mappen kunnen worden misbruikt om escalatie van bevoegdheden te bewerkstelligen. Het is de moeite waard erop te wijzen dat het probleem (CVE-2021-41091, CVSS-score: 6.3) eerder door CyberArk in februari 2022 werd gemarkeerd en door Docker werd opgelost in versie 20.10.9.
“De instelling van het doorzoekbare bit voor andere gebruikers op /var/lib/docker/ en onderliggende mappen kan ervoor zorgen dat een aanvaller met weinig bevoegdheden toegang krijgt tot de bestandssystemen van verschillende containers”, aldus WithSecure.