Недавно была зафиксирована кампания криптоджекинга, в которой злоумышленники воспользовались уязвимостями популярных DevOps-инструментов, включая Gitea, HashiCorp Consul, Nomad и Docker. Основной целью атак является получение несанкционированного доступа к системам через небезопасные конфигурации, что позволяет осуществлять скрытый майнинг.
Роман Шарапов, инженер и киберэксперт компании «Газинформсервис», подчеркивает, что данная кампания демонстрирует, как легко могут быть эксплуатируемы уязвимости в DevOps-среде. Например, в Gitea используются уязвимости, такие как CVE-2020-14144, позволяющие выполнять произвольный код. Открытый install endpoint дает возможность сбросить админ-доступ. В HashiCorp Consul злоумышленники могут регистрировать вредоносные сервисы, использующие health checks для выполнения команд в shell. Nomad уязвим в силу открытого API, разрешающего отправку задач без аутентификации. А у Docker Engine открытый порт 2375 предоставляет злоумышленникам root-доступ к системе.
Шарапов отмечает, что применение решений типа SAST и DAST, таких как SafeERP, могло бы значительно снизить риски данных атак. SAST-решения анализируют код на наличие уязвимостей, тогда как DAST-тестируют работающие приложения на наличие конфигурационных ошибок. SafeERP способен выявить небезопасные хуки в Gitea, открытые маршруты в API и уязвимости в других инструментах, что позволяет предотвратить потенциальные атаки.
Важность использования подобных инструментов очевидна — они помогают идентифицировать и устранить уязвимости до их эксплойтацией злоумышленниками.
В Мурманской области активность в сфере кибербезопасности развивают такие компании, как ЦИТ и «Систематика», а также внедряются платформы АТБ-АТОМ-1 и DLP «СёрчИнформ КИБ», способствующие созданию безопасных рабочих мест для сотрудников организаций.
