特斯拉 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機!避免「伺服器變挖礦機」四守則 

日前, Elon Musk (伊隆·馬斯克) 所持有的全球電動車、電池及太陽能大廠特斯拉(Tesla) 發生 Amazon Web Service (AWS) 雲端伺服器帳號遭駭客入侵的事件。一些敏感的資料因而外洩,包括:遙測資料、地圖資訊及車輛維修記錄。此外,駭客也趁機將這些伺服器當成挖礦機,用來執行加密虛擬貨幣挖礦惡意程式。

特斯啦 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機
特斯拉 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機

事件發生經過

伺服器設定不當,加上安全防護不足,這樣的情況其實並非罕見。過去也曾出現過多起伺服器發生資料外洩而企業卻毫不知情的案例。而這次發現問題的是資安廠商 RedLock,該廠商在其報告當中指出,Tesla 公司所使用的開放原始碼雲端資源暨工具管理軟體  Kubernetes 有某個主控台未受到妥善保護。RedLock  補充 說:「駭客入侵了 Tesla 缺乏密碼保護的 Kubernetes 主控台,在某個 Kubernetes 容器包 (Pod) 當中存取暴露在 Tesla 的 AWS 環境下的帳號登入憑證,而該環境當中就有一個 Amazon S3 (Amazon Simple Storage Service) 儲存貯體 (Bucket) 內含敏感資料 (如遙測數據)。」

駭客進入 Tesla 的 AWS 伺服器,接著利用 Stratum 比特幣挖礦協定部署一個挖礦作業。這項作業執行了多久,以及挖了多少虛擬貨幣,目前並無相關資訊。根據前述資安報告,駭客運用了一些技巧來避開偵測並暗中執行作業,包括將惡意程式隱藏在某個 CloudFlare 的 IP 位址背後,以及盡可能壓低挖礦時的 CPU 資源用量等等。

RedLock 的研究人員一發現問題之後便立即向 Tesla 漏洞懸賞計畫通報,並且獲得 3,000 美元以上的獎金。針對這項發現,Tesla 發言人表示他們在接獲通報的幾小時內就已將問題解決,而遭到外洩的資料只涉及內部研發測試用車輛。顯然其內部調查並未發現有客戶隱私資料外洩,或是車輛安全遭到破解。

 避免「伺服器變挖礦機」的四守則 

就在該事件的幾天前,JenkinsMiner 的新聞才鬧得沸沸揚揚,這是一個遠端存取木馬程式與 XMRig 挖礦程式的合體,專門攻擊已知的  CVE-2017-1000353 漏洞,據稱已開始轉而攻擊含有該漏洞的 Jenkins 伺服器。(事實上 Jenkins 已在 2017 年 4 月公布並修補了這項漏洞。)

這個挖礦程式據稱已經從遭到感染的 Windows 電腦開採到約當 300 萬美元的門羅幣 (Monero) 。不過,駭客目前已將目標移轉至運算效能更強的 Jenkins 伺服器。Jenkins Continuous Integration目前全球約有一百萬使用者的,是一套開放原始碼自動化伺服器,同時也是熱門的開發營運 (DevOps) 與持續整合 (CI) 協調工具。

含有漏洞的伺服器一旦被 JenkinsMiner 入侵,駭客就會發送一個內含兩個物件的請求。其中第二個物件含有門羅幣挖礦程式。如果挖礦程式部署成功,伺服器將大受影響,效能將嚴重變慢,進而無法提供服務

隨著越來越多挖礦程式開始鎖定伺服器,企業機構必須預先做好適當防備,鞏固其環境,確保資料和相關資源的安全。以下是一些我們建議的四個安全守則:

  1. 嚴格管理伺服器登入憑證,並且確實掌握所有用到這些憑證的第三方應用程式。
  2. 啟用所有隱私權功能,正確設定伺服器安全組態,尤其是包含敏感資料的伺服器。
  3. 建立存取權限管制政策,務必採用適合企業和客戶需求的加密保護。
  4. 實施並徹底執行正確的修補更新政策

趨勢科技解決方案

趨勢科技 趨勢科技Deep Security 和  趨勢科技 Vulnerability Protection 漏洞防護 都能提供虛擬修補來防範企業伺服器和端點因未修補的漏洞而遭到攻擊。趨勢科技 OfficeScan™的漏洞防護功能,也能在修補程式部署之前防止端點裝置遭到已知及未知的漏洞攻擊。趨勢科技 TippingPoint™  則提供了虛擬修補和廣泛的零時差漏洞防護,能藉由  DigitalVaccine™ 數位疫苗過濾規則來防範經由網路發動的漏洞攻擊。

趨勢科技Deep Discovery能夠偵測、深入分析並主動回應漏洞攻擊,利用特殊的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋網路攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測漏洞攻擊。

 

原文出處:Tesla and Jenkins Servers Fall Victim to Cryptominers