锁定Kubernetes(K8s)环境并将其用于挖矿的攻击行动不时传出,其中最常见的做法是借由拉取Docker映像档来推送恶意程式而得逞,但最近有人运用特定元件的已知漏洞来发动攻击。
3月15日中继资料管理平台OpenMetadata漏洞维护团队发布资安公告,指出该系统存在CVE-2024-28255、CVE-2024-28847、CVE-2024-28253、CVE-2024-28848、CVE-2024-28254等5个漏洞,其CVSS风险评分介于8.8至9.8,他们推出1.2.4、1.3.1新版予以修补,并指出一旦利用这些漏洞,攻击者可远端执行任意程式码。事隔不久,