Kinsing恶意软件攻击Kubernetes集群

关键要点

• Kinsing恶意软件通过容器镜像漏洞和错误配置的PostgreSQL容器入侵Kubernetes集群。
• 攻击者搜索WordPress、PHPUnit、Liferay和Oracle WebLogic中的远程代码执行漏洞获取初始访问权限。
• Kinsing专注于PostgreSQL服务器的错误配置，尤其是“信任认证”设置。
• Microsoft建议安全团队参考PostgreSQL的安全建议来避免潜在的配置问题。

近期，BleepingComputer报道了Kinsing恶意软件入侵Kubernetes集群的情况。根据Microsoft Defender forCloud团队的报告，Kinsing利用容器镜像的漏洞和配置错误的容器进行攻击。攻击者利用Kinsing正在寻找WordPress、PHPUnit、Liferay和OracleWebLogic中的远程代码执行漏洞，以获得初始访问权限。

报告指出：“我们最近发现了一次广泛的Kinsing活动，专门针对易受攻击的WebLogic服务器版本。攻击开始时会扫描大量IP地址，寻找匹配WebLogic默认端口（7001）的开放端口。”此外，Kinsing还瞄准PostgreSQL服务器的配置错误，尤其是“信任认证”设置。尽管实施了严格的IP访问配置，但地址解析协议（ARP）中毒风险依然很高，Microsoft对此表示担忧。因此，建议安全团队参考PostgreSQL的安全建议页面并采纳建议的安全措施，以防止潜在的配置问题。

Microsoft还补充说，Defender for Cloud可以用来检测PostgreSQL容器的配置错误，从而增强系统安全性。

相关链接： – –

通过采取这些措施，组织可以更好地保护其Kubernetes集群与数据库免受Kinsing等恶意软件的侵害。