Microsoft Threat Intelligence hat einen neuen Angriff entdeckt, bei dem kritische Schwachstellen in OpenMetadata ausgenutzt werden, um Kubernetes-Workloads zu kompromittieren und für Krypto-Mining-Aktivitäten zu nutzen. OpenMetadata ist eine Open-Source-Plattform zur Verwaltung von Metadaten über verschiedene Datenquellen hinweg.
Am 15. März 2024 wurden mehrere Schwachstellen (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848, CVE-2024-28254) veröffentlicht, die Versionen vor 1.3.1 betreffen und Angreifern die Umgehung der Authentifizierung sowie die Ausführung von Remote-Code ermöglichen. Seit Anfang April wurden diese Schwachstellen in Kubernetes-Umgebungen ausgenutzt.
Microsoft empfiehlt dringend, die OpenMetadata-Workloads auf die neueste Version (1.3.1 oder höher) zu aktualisieren. Zudem bietet Microsoft Defender for Cloud Lösungen zur Erkennung und Abwehr solcher Angriffe an. Angreifer nutzen dabei Techniken wie das Scannen des Netzwerks und die Ausnutzung von Umgebungsvariablen, um sich Zugang zu weiteren Ressourcen zu verschaffen. Eine häufige Methode zur Initialisierung ist der Einsatz von Reverse-Shell-Verbindungen und die Verwendung von Cronjobs für persistente Angriffe.
Administratoren sollten sicherstellen, dass OpenMetadata-Images aktuell sind und starke Authentifizierungsmethoden verwenden, um die Sicherheit ihrer Kubernetes-Cluster zu gewährleisten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: