Introduction
La société de sécurité Wiz a identifié un groupe de hackers, dénommé JINX-0132, qui exploite des vulnérabilités de configuration au sein des outils DevOps pour mener des attaques de minage de cryptomonnaies à grande échelle.
Outils ciblés et méthodes
Les outils ciblés incluent HashiCorp Nomad et Consul, l’API Docker et Gitea, avec environ 25 % des environnements cloud à risque.
Ces attaques se caractérisent par le déploiement de logiciels de minage tels que XMRig, utilisant la configuration par défaut de Nomad. Les hackers exécutent également des scripts malveillants par le biais d’un accès non autorisé à l’API de Consul, et prennent le contrôle des API Docker exposées pour créer des conteneurs dédiés au minage.
Risques et recommandations
Les données fournies par Wiz indiquent que 5 % des outils DevOps sont directement accessibles sur Internet public, tandis que 30 % présentent des défauts de configuration. Pour atténuer ces risques, les équipes de sécurité recommandent aux utilisateurs de :
- Mettre à jour rapidement leurs logiciels,
- Désactiver les fonctionnalités inutiles,
- Restreindre les autorisations d’accès à l’API.
Conclusion
Cette situation souligne l’importance cruciale d’une gestion rigoureuse de la configuration des environnements cloud. Malgré les avertissements contenus dans la documentation officielle de HashiCorp concernant les risques associés, de nombreux utilisateurs n’ont pas activé les fonctionnalités de sécurité essentielles. Les experts avertissent que de simples ajustements de configuration peuvent prévenir la majorité des attaques automatisées.
