Angriff auf Kubernetes-Cluster über OpenMetadata-Schwachstellen

Betroffen von mindestens einer der Schwachstellen sind alle OpenMetadata-Versionen vor 1.3.1. Kriminelle können über die Sicherheitslücken die Authentifizierung umgehen und Schadcode im OpenMetadata-Pod ausführen. Außerdem sind Seitwärtsbewegungen möglich, so dass sich Angreifende weiter im System ausbreiten könnten. Indikatoren (IoCs) stehen zur Verfügung, mit denen Betreiber prüfen können, ob das System bereits kompromittiert ist.

OpenMetadata ist eine Open-Source-Plattform zur Speicherung und Verwaltung von Metadaten aus verschiedenen Quellen.

Über die Sicherheitslücken können Kriminelle aus dem Internet erreichbare, verwundbare OpenMetadata-Workloads ausnutzen, um die ausführende Umgebung zu kompromittieren. Angreifende können dort beliebige Befehle ausführen, Malware installieren und sich dauerhaften Zugriff verschaffen. Speziell das Schürfen von Kryptowährungen ist sehr rechenintensiv und geht zu Lasten der ausführenden Systeme.

• Aktualisieren Sie OpenMetadata auf Version 1.3.1 oder höher.
• Ersetzen Sie Standardzugangsdaten durch eigene Zugangsdaten, sofern noch nicht geschehen.
• Verwenden Sie eine starke Authentifizierung.
• Nutzen Sie die IoCs (siehe Link unten), um Ihre Umgebung auf Kompromittierung zu prüfen. Dies ist insbesondere dann empfehlenswert, wenn eine verwundbare Version genutzt wurde und diese potenziell aus dem Internet erreichbar war.
• Administratoren von Kubernetes-Clustern können mit folgendem Befehl die Version aller OpenMetadata-Workloads des Clusters auflisten: kubectl get pods --all-namespaces -o=jsonpath='{range .items[*]}{.spec.containers[*].image}{"\n"}{end}' | grep 'openmetadata'