Laut PANews hat das Sicherheitsunternehmen Wiz eine Hackergruppe mit dem Codenamen JINX-0132 identifiziert, die Konfigurationsschwachstellen in DevOps-Tools für groß angelegte Kryptowährungs-Mining-Angriffe ausnutzt. Zu den angegriffenen Tools gehören HashiCorp Nomad/Consul, Docker API und Gitea. Rund 25 % der Cloud-Umgebungen sind gefährdet.
Die Angriffsmethoden umfassen den Einsatz der XMRig-Mining-Software mit der Standardkonfiguration von Nomad, die Ausführung schädlicher Skripte über unberechtigten Zugriff auf die Consul-API und die Kontrolle exponierter Docker-APIs zur Erstellung von Mining-Containern. Wiz‘ Daten zeigen, dass 5 % der DevOps-Tools direkt dem öffentlichen Internet ausgesetzt sind und 30 % Konfigurationsfehler aufweisen.
Sicherheitsteams empfehlen Nutzern, Software umgehend zu aktualisieren, unnötige Funktionen zu deaktivieren und API-Zugriffsberechtigungen einzuschränken, um Risiken zu minimieren. Dieser Angriff unterstreicht die Bedeutung des Konfigurationsmanagements in Cloud-Umgebungen. Trotz Warnungen in der offiziellen Dokumentation von HashiCorp vor damit verbundenen Risiken haben viele Nutzer grundlegende Sicherheitsfunktionen nicht aktiviert. Experten betonen, dass einfache Konfigurationsanpassungen die meisten automatisierten Angriffe verhindern können.
