Attacco JINX-0132 e vulnerabilità negli strumenti DevOps
La società di sicurezza Wiz ha identificato un gruppo di hacker, noto con il nome in codice JINX-0132, che sta sfruttando le vulnerabilità di configurazione negli strumenti DevOps per realizzare attacchi di mining di criptovalute su larga scala.
Strumenti colpiti e metodi di attacco
Gli strumenti colpiti includono:
- HashiCorp Nomad/Consul
- Docker API
- Gitea
Inoltre, circa il 25% degli ambienti cloud è a rischio. I metodi di attacco prevedono:
- Il deployment del software di mining XMRig utilizzando le configurazioni predefinite di Nomad.
- L’esecuzione di script malevoli attraverso accessi non autorizzati all’API di Consul.
- Il controllo di API Docker esposte per creare contenitori di mining.
Statistiche e raccomandazioni di sicurezza
Secondo i dati forniti da Wiz:
- Il 5% degli strumenti DevOps è direttamente esposto a Internet pubblica.
- Il 30% presenta difetti di configurazione.
I team di sicurezza raccomandano agli utenti di:
- Aggiornare tempestivamente il software.
- Disabilitare funzionalità non necessarie.
- Limitare i permessi di accesso API per mitigare i rischi.
Importanza della gestione della configurazione
Questo attacco sottolinea l’importanza della gestione della configurazione negli ambienti cloud. Nonostante i diversi avvertimenti presenti nella documentazione ufficiale di HashiCorp riguardo ai rischi associati, molti utenti non hanno attivato le opportune funzionalità di sicurezza.
Gli esperti evidenziano che semplici interventi di configurazione possono prevenire la maggior parte degli attacchi automatici.
