OpenMetadata là một nền tảng mã nguồn mở hoạt động như một công cụ quản lý siêu dữ liệu (metadata), giúp người dùng có thể tìm kiếm, xuất và nhập dữ liệu cùng nhiều tác vụ khác.

Theo nhóm Threat Intelligence, các tin tặc đã khai thác các lỗ hổng tồn tại trong các bản cài đặt chưa được vá trên Internet kể từ đầu tháng 4/2024. Các lỗ hổng bị khai thác đều được phát hiện và ghi nhận bởi nhà nghiên cứu bảo mật Alvaro Muñoz, cụ thể như sau:

- CVE-2024-28847 (điểm CVSS: 8.8): Lỗ hổng Spring Expression Language (SpEL) trong PUT /api/v1/events/subscriptions (đã được vá với phiên bản 1.2.4).

- CVE-2024-28848 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/policies/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).

- CVE-2024-28253 (điểm CVSS: 8.8): Lỗ hổng chèn SpEL injection  trong PUT /api/v1/policies (đã được vá với phiên bản 1.3.1).

- CVE-2024-28254 (điểm CVSS: 8.8): Lỗ hổng SpEL injection  trong GET /api/v1/events/subscriptions/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).

- CVE-2024-28255 (điểm CVSS: 9.8): Lỗ hổng vượt qua xác thực - Bypass (đã được vá với phiên bản 1.2.4).

Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ tấn công bypass và thực thi mã từ xa.

Những kẻ tấn công đã nhắm mục tiêu vào các khối lượng workload OpenMetadata để thực thi mã trên container chạy OpenMetadata image. Sau khi xâm nhập thành công, tin tặc sẽ thực hiện các hoạt động trinh sát để xác định mức độ truy cập vào môi trường bị xâm nhập và thu thập thông tin chi tiết về cấu hình mạng và phần cứng, phiên bản hệ điều hành, số lượng người dùng đang hoạt động và các biến môi trường.

Hai nhà nghiên cứu bảo mật Hagai Ran Kestenberg và Yossi Weizman cho biết: “Bước thăm dò này thường liên quan đến việc liên hệ với một dịch vụ công khai. Trong cuộc tấn công cụ thể này, những kẻ tấn công gửi yêu cầu ping đến các tên miền kết thúc bằng oast[.]me và oast[.]pro, được liên kết với Interactsh - một công cụ mã nguồn mở để phát hiện các tương tác ngoài phạm vi”.

Ý tưởng là xác thực kết nối mạng từ hệ thống bị xâm nhập đến cơ sở hạ tầng do kẻ tấn công kiểm soát mà không bị gắn cờ là red flag, từ đó cho phép kẻ tấn công thiết lập liên lạc đến máy chủ điều khiển và ra lệnh (C2) đồng thời triển khai payload độc hại bổ sung.

Mục tiêu cuối cùng của các cuộc tấn công là truy xuất và triển khai một biến thể Windows hoặc Linux của phần mềm độc hại khai thác tiền điện tử từ một máy chủ từ xa đặt tại Trung Quốc, tùy thuộc vào hệ điều hành.

Sau khi công cụ khai thác được thực thi, payload ban đầu sẽ bị xóa khỏi workload và những kẻ tấn công khởi tạo một reverse shell cho máy chủ từ xa của chúng bằng công cụ Netcat, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống. Tính bền vững đạt được bằng cách thiết lập các cron jobs định kỳ để chạy mã độc theo các khoảng thời gian được xác định trước.

Người dùng OpenMetadata nên chuyển sang các phương thức xác thực mạnh, tránh sử dụng thông tin xác thực mặc định và cập nhật image của họ lên phiên bản mới nhất.

Sự phát triển này diễn ra khi các máy chủ Redis có thể truy cập công khai bị vô hiệu hóa tính năng xác thực hoặc có các lỗ hổng chưa được vá đang được nhắm mục tiêu để cài đặt các payload Metasploit Meterpreter cho giai đoạn sau khai thác.

Các nhà nghiên cứu của Trung tâm tình báo bảo mật AhnLab (ASEC) cho biết: “Khi Metasploit được cài đặt, các tác nhân đe dọa có thể kiểm soát hệ thống bị lây nhiễm và điều khiển mạng nội bộ của một tổ chức bằng cách sử dụng các tính năng khác nhau do phần mềm độc hại cung cấp”.