Identifikation der Hackergruppe JINX-0132
Die Sicherheitsfirma Wiz hat eine Hackergruppe mit dem Codenamen JINX-0132 identifiziert, die Sicherheitsanfälligkeiten in DevOps-Tools für großangelegte Kryptowährungs-Mining-Angriffe ausnutzt. Zu den betroffenen Tools gehören HashiCorp Nomad/Consul, die Docker API und Gitea. Schätzungen zufolge sind etwa 25 % der Cloud-Umgebungen gefährdet.
Methoden der Angreifer
Die Methoden, die die Angreifer verwenden, umfassen:
- Bereitstellung der XMRig-Mining-Software mithilfe der Standardkonfiguration von Nomad.
- Ausführen bösartiger Skripte durch unbefugten Zugriff auf die Consul API.
- Kontrolle von exponierten Docker APIs zur Erstellung von Mining-Containern.
Laut den Daten von Wiz sind 5 % der DevOps-Tools direkt dem öffentlichen Internet ausgesetzt, und rund 30 % weisen Konfigurationsfehler auf.
Sicherheitsmaßnahmen und Empfehlungen
Sicherheitsteams empfehlen den Nutzern, folgende Maßnahmen zu ergreifen:
- Software umgehend zu aktualisieren.
- Unnötige Funktionen zu deaktivieren.
- API-Zugriffsberechtigungen einzuschränken.
Dieser Vorfall verdeutlicht die Bedeutung eines soliden Konfigurationsmanagements in Cloud-Umgebungen. Trotz der Warnungen in der offiziellen Dokumentation von HashiCorp zu den entsprechenden Risiken haben viele Nutzer grundlegende Sicherheitsfunktionen nicht aktiviert. Experten betonen, dass einfache Anpassungen in der Konfiguration die meisten automatisierten Angriffe erfolgreich abwehren können.
