최근 사이버 보안 전문가들의 보고서에 따르면 인기 있는 플랫폼과 서비스의 중요한 취약점을 노리는 악성 활동이 급증하고있다.
오픈메타데이타(OpenMetadata)의 결함을 악용하는 것부터 레디스 서버와 도커 디렉토리의 취약점을 활용하는 것까지, 위협 행위자들은 무단 액세스와 불법적인 이득을 얻기 위해 모든 방법을 가리지 않고 있다.
마이크로소프트 위협 인텔리전스 팀은 오픈 소스 메타데이터 관리 도구인 오픈메타데이타 내에서 여러 가지 중요한 취약점이 악용되는 것에 대해 경보를 발령했다. 이 취약점에는 스프링 표현 언어(SpEL) 인젝션 결함과 인증 우회 취약점이발견됐다. 이러한 결함을 익스플로잇하면 원격 코드 실행으로 이어질 수 있으며, 위협 행위자는 쿠버네티스 워크로드를 손상시키고 암호화폐 채굴 활동에 관여할 수 있다.
위협 행위자들은 패치가 적용되지 않은 채 인터넷에 노출된 오픈메타데이타 인스턴스를 표적으로 삼아 컨테이너화된 환경에 초기 액세스 권한을 획득하는 것이 관찰되었다. 공격자들은 침투 후 정찰 활동을 수행하여 네트워크 구성 및 운영 체제 세부 정보를 포함하여 손상된 환경을 평가한다.
시스템 내부에 진입한 위협 행위자는 일반적으로 중국에 위치한 원격 서버에서 가져온 윈도우 또는 리눅스 운영 체제에 맞게 조정된 암호화 채굴 멀웨어를 배포한다. 공격자들은 지속성을 유지하기 위해 미리 정의된 간격으로 악성 코드를 실행하는 크론 작업을 활용한다. 또한 공격자는 넷캣과 같은 도구를 사용하여 리버스 셸을 구축하여 손상된 시스템을 원격으로 제어할 수 있도록 한다.
이러한 취약점으로 인한 위험을 완화하기 위해 사이버 보안 전문가들은 OpenMetadata 사용자가 강력한 인증 방법을 채택하고, 소프트웨어를 최신 버전으로 즉시 업데이트할 것을 권장한다. 또한, 컨테이너화된 환경에서 규정 준수를 유지하고 완전히 패치된 워크로드를 실행하는 것은 잠재적인 공격을 차단하는 데 매우 중요하다.
사이버 범죄자들은 또한 인증이 비활성화되거나 패치가 적용되지 않은 결함이 있는 Redis 서버를 표적으로 삼아 사후 익스플로잇 활동을 위해 메타스플로잇 미터프리터 페이로드를 설치하고있어 주의해야 한다.