Selam dostlar, bugün sizlere Kubernetes iş yüklerini hedef alan tehdit aktörlerinin OpenMetadata’daki güvenlik açıklarını nasıl kullandığını anlatacağım. Microsoft Tehdit İstihbaratı ekibine göre, Nisan 2024’ten beri bu açıkların hedef alındığını belirtiyorlar. OpenMetadata, veri varlığı keşfi, gözlemlenebilirlik ve yönetişim için bir platform ve meta veri yönetimi aracı olarak çalışıyor. Şimdi bu kritik güvenlik açıklarına bir göz atalım.
Bu açıkların başarılı bir şekilde kullanılması, tehdit aktörlerine kimlik doğrulamayı atlatarak uzaktan kod yürütme imkanı sağlayabilir. Microsoft’un açığa çıkardığı çalışma, internete açık OpenMetadata iş yüklerinin hedeflenmesini gerektiriyor. Tehdit aktörleri, ele geçirdikleri ortamda erişim düzeylerini belirlemek ve ayrıntıları toplamak için keşif faaliyetleri yürütüyorlar.
Aynı zamanda, tehdit aktörleri sızdıkları sistemde kontrol ettikleri altyapıya kadar güvenli bir şekilde ağ bağlantısını doğrulamak için çaba gösteriyorlar. Bu saldırıların son amacı, Çin’deki uzak bir sunucudan kripto madenciliği zararlı yazılımını alıp dağıtmaktır. Kalıcılığı sağlamak için ise kron işlerini kullanarak kötü amaçlı kodun belirli aralıklarla çalışmasını sağlıyorlar.
Ancak ilginç bir detay var; tehdit aktörü nota bırakarak, fakir olduklarını ve paraya ihtiyaçları olduğunu belirtiyor. Bununla birlikte, OpenMetadata kullanıcılarına güçlü kimlik doğrulama yöntemleri kullanmaları ve güncellemeleri öneriliyor. Bu saldırılar, konteynerleştirilmiş ortamlarda tam yamanın ve uyumun neden önemli olduğunu gösteriyor.
Son olarak, Docker dizinlerindeki ayrıcalık yükseltme amacıyla kötüye kullanılabilecek açıklıkların da olabileceğini unutmamalıyız. Tüm bu bilgileri değerlendirerek, güvenlik önlemlerimizi gözden geçirmek ve güçlendirmek önemlidir. Umarım bu bilgiler sizin için faydalı olmuştur, kendinize iyi bakın!
