結合軟體開發及IT維運的DevOps環境,近年來也成為駭客偏好下手的目標,將其中特定系統的運算資源用來挖礦,但如今有人同時針對多套系統發動攻擊。
雲端安全公司Wiz揭露駭客組織JINX-0132的攻擊行動,這些駭客針對Docker、Gitea、HashiCorp Consul,以及HashiCorp Nomad等DevOps應用程式伺服器而來,利用配置不當的情況或資安弱點來植入挖礦程式XMRig。研究人員指出,這是首度有人濫用HashiCorp Nomad來進行挖礦的活動。
HashiCorp Nomad是工作負載編排工具,可用於部署和管理容器化與非容器化應用程式,適用於雲端、內部部署及邊緣環境,號稱簡單易用且能靈活配置。但研究人員特別提及,HashiCorp在相關文件指出,Nomad並非採取預設安全(Secure by Default)的配置,使用者必須自行正確配置各種資安功能。換言之,假若管理員並未採取適當的配置,就有可能讓所有能夠存取API的使用者隨意建立或執行工作排程,這種沒有任何管制的狀態下,形同開放用戶遠端在Nomad及節點上執行任意程式碼(RCE)。
而JINX-0132下手的對象,主要是曝露在網際網路、使用預設組態而未套用HashiCorp建議配置的Nomad伺服器API,他們在受害主機建立多項新的工作,從GitHub儲存庫下載XMRig並授予權限,然後執行挖礦工作,並連線到公開的門羅幣礦池。研究人員提及,攻擊者並未使用自己打造的惡意酬載或是伺服器,因此唯一識別駭客活動的管道,就是他們的加密貨幣錢包。
此外,攻擊者還濫用配置不當Docker API,呼叫特定的端點,例如:/containers/create、/image/create來啟動惡意容器,而這些配置不當的Docker,管理者往往僅透過快速上手指引部署,從而曝露tcp://0.0.0.0:2375(或2376埠己,使得攻擊者有機會遠端執行任意程式碼。
針對Git儲存庫Gitea的部分,研究人員認為JINX-0132可能是利用CVE-2020-14144或配置不當的情況,取得伺服器的初期入侵管道。這些技術讓攻擊者能夠遠端執行惡意程式碼,並確保挖礦活動持續進行。
對於HashiCorp Consul的環境,攻擊者利用錯誤配置來註冊惡意服務,並透過健康檢查機制執行bash命令,下載並執行XMRig。這些攻擊手法顯示,許多企業的DevOps環境仍然存在嚴重的安全漏洞。
究竟這波攻擊行動的曝險範圍有多大?Wiz研究人員未公布明確的數字,但他們提及全球約有8成雲端環境採用Docker、逾20%採用Consul;四分之一採用上述提及的Consul、Gitea,或是Nomad。而採用這些DevOps工具的環境,約有5%直接曝露於網際網路,其中有三成存在組態配置不當而曝險。為了更具體呈現JINX-0132的威脅規模,Wiz研究人員使用物聯網搜尋引擎Shodan尋找可能遭殃的系統,他們發現有5,319臺Consul伺服器、405臺伺服器曝露於網際網路,這些系統有可能已淪陷。
熱門新聞
2025-07-16
2024-08-05
2025-07-18
2025-07-16
2025-07-16
2025-07-14
2025-07-14
