Sikkerhetsrisiko fra JINX-0132
Sikkerhetsfirmaet Wiz har identifisert en hackergruppe, med kodenavn JINX-0132, som utnytter konfigurasjonssårbarheter i DevOps-verktøy for storskala kryptovaluta-miningangrep. Verktøyene som er målrettet inkluderer HashiCorp Nomad/Consul, Docker API og Gitea, hvor omtrent 25 % av sky-miljøene er i risikosonen.
Angrepsmetoder
Angrepsmetodene involverer distribusjon av XMRig-miningprogramvare ved å bruke Nomads standardkonfigurasjon, utførelse av ondsinnede skript gjennom uautorisert tilgang til Consul API, samt kontroll av eksponerte Docker API-er for å opprette mining-containere.
Eksponering og anbefalinger
Wiz sine data indikerer at 5 % av DevOps-verktøyene er direkte eksponert for internett, mens 30 % har konfigurasjonsfeil. Sikkerhetsteam anbefaler brukere å raskt oppdatere programvaren, deaktivere unødvendige funksjoner, og begrense API-tilgangstillatelser for å redusere risikoen.
Dette angrepet understreker viktigheten av konfigurasjonsadministrasjon i sky-miljøer.
Til tross for advarsler fra HashiCorps offisielle dokumentasjon om relaterte risikoer, har mange brukere ikke aktivert nødvendige sikkerhetsfunksjoner. Eksperter understreker at enkle konfigurasjonsjusteringer kan forhindre de fleste automatiserte angrep.
