![\"RBAC](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/04\/tinywow_1_21474310-e1682697975802.webp\" "\\"\\"")
<\/a>En la campa\u00f1a RBAC Buster, los atacantes explotan vulnerabilidades en los cl\u00fasteres de Kubernetes para obtener acceso y luego utilizan el control de acceso basado en roles (RBAC) para implementar puertas traseras y ejecutar mineros en los dispositivos comprometidos. Los mineros utilizan los recursos de los dispositivos para extraer criptomonedas, lo que puede ralentizar los sistemas y aumentar los costos de energ\u00eda.<\/p>\n
Para protegerse contra la campa\u00f1a RBAC Buster, es importante que las organizaciones implementen medidas de seguridad s\u00f3lidas en sus cl\u00fasteres de Kubernetes.<\/p>\n
Esto puede incluir la aplicaci\u00f3n de parches de seguridad y la implementaci\u00f3n de controles de acceso rigurosos para limitar el acceso no autorizado.<\/p>\n
Tambi\u00e9n es importante supervisar continuamente los sistemas para detectar y responder r\u00e1pidamente a cualquier actividad sospechosa.<\/p>\n
Un honeypot K8 es una trampa de seguridad dise\u00f1ada para atraer y detectar posibles ataques a un cl\u00faster de Kubernetes (K8). Kubernetes es una plataforma de orquestaci\u00f3n de contenedores utilizada para gestionar aplicaciones en contenedores.<\/p>\n
Los honeypots K8 se configuran para simular aplicaciones vulnerables y servicios expuestos, lo que atrae a los atacantes a intentar explotarlos.<\/p>\n
Utilizamos un honeypot K8 para recopilar informaci\u00f3n sobre las t\u00e1cticas y t\u00e9cnicas utilizadas por los atacantes para comprometer cl\u00fasteres de Kubernetes.<\/p>\n
Al monitorear el honeypot, pudimos detectar y analizar las herramientas y m\u00e9todos de los atacantes, como los exploits y las t\u00e9cnicas de evasi\u00f3n, para desarrollar medidas de seguridad m\u00e1s efectivas para proteger los cl\u00fasteres de Kubernetes.<\/p>\n
El uso de honeypots K8 y otras herramientas de seguridad similares es esencial para garantizar la seguridad de los cl\u00fasteres de Kubernetes y otras aplicaciones en contenedores, ya que permite a los investigadores de seguridad comprender c\u00f3mo trabajan los atacantes y desarrollar medidas de protecci\u00f3n m\u00e1s efectivas.<\/p>\n
Es preocupante escuchar sobre esta campa\u00f1a de ataque que est\u00e1 explotando las vulnerabilidades en los sistemas de Kubernetes (K8) y el control de acceso basado en roles (RBAC).<\/p>\n
El control de acceso basado en roles es una t\u00e9cnica com\u00fan utilizada en la seguridad de la informaci\u00f3n para proteger los sistemas de informaci\u00f3n y evitar accesos no autorizados. Sin embargo, como se ha demostrado en este caso, puede ser vulnerable a ataques si no se implementa adecuadamente.<\/p>\n Los ataques despliegan DaemonSets para tomar el control de los recursos de los cl\u00fasteres de K8, son particularmente preocupantes porque permiten a los atacantes tomar el control de todo el cl\u00faster, lo que puede resultar en el robo de datos o la interrupci\u00f3n de los servicios.<\/p>\n Es importante que las organizaciones que utilizan Kubernetes<\/a> o cualquier otro sistema de gesti\u00f3n de contenedores sean conscientes de estas vulnerabilidades y tomen medidas para asegurar sus sistemas.<\/p>\n Esto puede incluir la implementaci\u00f3n de parches de seguridad, la limitaci\u00f3n del acceso a los sistemas, la supervisi\u00f3n activa de los sistemas y la formaci\u00f3n del personal en pr\u00e1cticas de seguridad cibern\u00e9tica.<\/p>\n Los actores de amenazas tuvieron acceso a trav\u00e9s de un servidor API mal configurado y pudieron llevar a cabo operaciones de reconocimiento en el sistema.<\/p>\n Es importante que las organizaciones sean conscientes de que la configuraci\u00f3n adecuada del servidor API es fundamental para proteger los sistemas de la informaci\u00f3n.<\/p>\n Los actores de amenazas tambi\u00e9n llevaron a cabo operaciones de reconocimiento para enumerar secretos y entidades a trav\u00e9s de solicitudes HTTP y API, lo que les permiti\u00f3 identificar vulnerabilidades y posibles objetivos de ataque. Esto destaca la importancia de la gesti\u00f3n de identidades y accesos, y la necesidad de tener una pol\u00edtica de seguridad s\u00f3lida para proteger los datos y los recursos cr\u00edticos.<\/p>\n Adem\u00e1s, el hecho de que los actores de amenazas hayan verificado si el servidor ejecutaba malware minero de la competencia sugiere que est\u00e1n comprometidos en una competencia en el mercado del malware y est\u00e1n dispuestos a aprovechar cualquier oportunidad para ganar una ventaja competitiva.<\/p>\n Por \u00faltimo, el aprovechamiento de RBAC para lograr la persistencia es una t\u00e1ctica com\u00fan utilizada por los atacantes para mantener su presencia en el sistema y evitar la detecci\u00f3n.<\/p>\n Es importante que las organizaciones implementen medidas de seguridad adecuadas para detectar y responder a posibles amenazas persistentes. Esto puede incluir la monitorizaci\u00f3n de los registros de actividad, la implementaci\u00f3n de sistemas de detecci\u00f3n de intrusiones y la implementaci\u00f3n de pol\u00edticas de seguridad s\u00f3lidas.<\/p>\n Los atacantes tambi\u00e9n intentaron eliminar implementaciones existentes espec\u00edficas, “incluyendo ‘kube-secure-fhgxtsjh’, ‘kube-secure-fhgxt’, ‘api-proxy’ y ‘worker-deployment'”. Los investigadores creen que, al hacerlo, los atacantes ten\u00edan como objetivo aumentar la CPU disponible al deshabilitar las campa\u00f1as heredadas o de la competencia y reducir las posibilidades de ser descubiertos.<\/p>\n Es com\u00fan que los atacantes traten de evitar ser detectados mientras realizan actividades maliciosas en sistemas inform\u00e1ticos, y una forma de hacerlo es deshabilitando otras campa\u00f1as que puedan estar compitiendo por recursos.<\/p>\n Al eliminar implementaciones espec\u00edficas, los atacantes pueden liberar recursos para sus propios fines, lo que les da una ventaja en t\u00e9rminos de capacidad de procesamiento y velocidad.<\/p>\n Sin embargo, estas t\u00e1cticas tambi\u00e9n pueden aumentar las posibilidades de ser descubiertos, ya que los sistemas de seguridad y los investigadores pueden notar la desaparici\u00f3n de ciertas implementaciones y sospechar de una actividad maliciosa.<\/p>\n La campa\u00f1a est\u00e1 muy extendida, dado que el contenedor malicioso se extrajo 14 339 veces desde que se carg\u00f3 hace cinco meses.<\/p>\n Un an\u00e1lisis m\u00e1s detallado revel\u00f3 que las im\u00e1genes del contenedor alojaban un controlador kube binario falso, un malware de miner\u00eda criptogr\u00e1fica disfrazado y sus archivos de configuraci\u00f3n. RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Bu<\/span><\/p>\n Las billeteras criptogr\u00e1ficas asociadas con el minero revelaron que los perpetradores ya hab\u00edan extra\u00eddo cinco XMR (aproximadamente $ 200) y podr\u00edan obtener otros cinco para fin de a\u00f1o de un solo trabajador.<\/p>\n \u201cLa imagen del contenedor denominada ‘kuberntesio\/kube-controller’ es un caso de error tipogr\u00e1fico que se hace pasar por la cuenta leg\u00edtima de ‘kubernetesio’\u201d. RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster,\u00a0<\/span><\/p>\n \u201cEsencialmente, es un componente K8s ampliamente utilizado que deber\u00eda existir en el cl\u00faster y podr\u00eda enga\u00f1ar a los profesionales haci\u00e9ndoles pensar que es una implementaci\u00f3n leg\u00edtima en lugar de un criptominero. Dado que est\u00e1 dise\u00f1ado para funcionar continuamente, nadie cuestionar\u00eda su presencia\u201d. RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster, RBAC Buster,\u00a0<\/span><\/p>\n <\/p>\n Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n Lea m\u00e1s sobre ciberseguridad en;<\/p>\n ZTNA Next, el killer del 100% de las VPN heredadas<\/a><\/p>\n CVE-2023-20869 con una puntuaci\u00f3n 9.3 recibe un parche de VMware<\/a><\/p>\n Aplicaciones cr\u00edticas bancarias: 2023 un a\u00f1o para el olvido<\/a><\/p>\n Qbot 2023 infecta correos corporativos con archivos PDF maliciosos<\/a><\/p>\n<\/a><\/a>