Identificación de la Amenaza
La firma de seguridad Wiz ha identificado a un grupo de hackers conocido como JINX-0132, que está aprovechando las vulnerabilidades de configuración en herramientas de DevOps para llevar a cabo ataques de minería de criptomonedas a gran escala.
Herramientas Afectadas
Entre las herramientas atacadas se encuentran:
- HashiCorp Nomad/Consul
- API de Docker
- Gitea
Esto pone en riesgo aproximadamente el 25% de los entornos en la nube.
Métodos de Ataque
Los métodos de ataque incluyen:
- Despliegue del software de minería XMRig utilizando la configuración predeterminada de Nomad.
- Ejecutar scripts maliciosos a través de acceso no autorizado a la API de Consul.
- Controlar APIs de Docker expuestas para crear contenedores de minería.
Estadísticas de Exposición
Según los datos de Wiz:
- El 5% de las herramientas de DevOps están directamente expuestas a internet público.
- El 30% presentan fallas de configuración.
Recomendaciones de Seguridad
Los equipos de seguridad recomiendan a los usuarios:
- Actualizar el software de inmediato.
- Desactivar funciones innecesarias.
- Restringir los permisos de acceso a las APIs para mitigar riesgos.
Importancia de la Gestión de Configuración
Este ataque pone de relieve la importancia de una correcta gestión de la configuración de entornos en la nube.
A pesar de las advertencias en la documentación oficial de HashiCorp sobre los riesgos asociados, muchos usuarios aún no han activado características básicas de seguridad.
Prevención de Ataques
Los expertos enfatizan que ajustes simples en la configuración pueden prevenir la mayoría de los ataques automatizados.
