Cryptojacking-orm spredes mellem dårligt sikrede Docker-værter

Docker-orm spreder sig og har potentiale til at gøre langt mere skade.

Mange brugere af container-softwaren Docker har sikret serverne, den køres på, så dårligt, at de er eksponeret for alle på internettet uden nogen form for autentificering eller autorisation.

Dette kan gøre det muligt for uvedkommende at tage fuld kontrol over Docker Engine-softwaren på værten.

Sikkerhedsforskere i Unit 42-afdelingen i Palo Alto Networks fortæller nu, at de har opdaget en orm, som udnytter den fraværende sikkerhed til at igangsætte udvinding af kryptovalutaen monero på mere end 2.000 Docker-værter.

Disse er efter sigende mulige at finde via Shodan-tjenesten.

Filmorm

Ormen kaldes for Graboid, opkaldt efter en ormelignende skabning i film- og tv-serierne ‘Tremors’. Når ormen har inficeret en container, køres den 63 procent af tiden.

Udvindingsperioderne varer i 250 sekunder ad gangen.

Den indledende del af inficeringen er foregået ved, at en angriber har fået adgang til en usikker Docker Engine-installation for derefter at downloade og køre en ondsindet Docker-billedbehandling (pocosow/centos:7.6.1810, gakeaws/nginx eller gakeaws/mysql) fra Docker Hub.

Derefter har malwaren kontaktet en command and control-server for at downloade blandt andet instruktioner og en liste over andre sårbare værter.

Disse er blevet downloadet mere end 16.500 gange, før de for nylig blev fjernet fra Docker Hub af Docker-teamet.

Pudsig opførsel

Kryptovalutaudvindingen startes ikke umiddelbart efter inficeringen. I stedet startes og stoppes udvindingsprocessen helt vilkårligt på de andre værter, som Graboid har inficeret.

Det er ifølge Unit 42 uklart, hvad der er den egentlige hensigt med dette.

Unit 42 anser ikke Graboid-ormen som værende særlig sofistikeret, som den ser ud nu, men advarer om, at den kan downloade nye scriptfiler fra command and control-servere.

Disse kan give ormen nye egenskaber, som potentielt kan gøre den betydeligt mere skadelig.

I blogindlægget om Graboid kommer sikkerhedsforskerne med en del råd, som kan bidrage til at forhindre inficeringen. Det vigtigste er, at ingen Docker-dæmon er eksponeret mod internettet uden ordentlig autentificering.

Med standardindstillingerne er Docker Engine ikke eksponeret mod internettet.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Jensen

Jeg synes den mere spændene vinkel er, at nogen bevidst sætter en server på en offentlig IP, eller forwarder en ellers intern port ufiltreret fra internet ind til en server, og derefter, yderligere, sætter Dockers uautentificerede og uautoriserede management port, til at lytte fra alle adresser frem for localhost. Det kræver vidst en særlig certificering.

Nyheden burde slet ikke nævne docker, for uanset hvilket produkt nogen gør det ved på internet, så vil der komme en lignende historie.

Det lyder jo i øvrigt som noget CSC har lavet for politiet.

  • 1
  • 0
Jeppe B. Vennekilde

Det kan have noget at gøre med, at hvis man googler e.g. "docker engine remote access" nævner de første resultater absolut intet omkring sikkerhed.
nr.2 der er fra docker selv https://success.docker.com/article/how-do-i-enable-the-remote-api-for-do..., nævner kun sikkerhed som en fodnote (se sidste sektioner der heder "Additional Documentation)

Dem der ikke har viden omkring hvad det vil sige at sikre et docker netværk (eller nogen form for applikation med ekstern adgang for den sags skyld), aner sikkert ikke engang at medmindre at man anvender agenter fra e.g. Rancher, Portainer, etc. som selv kan oprette en sikker forbindelse, at det er nøvendigt at opsætte certifikater for at sikre, at alle og enhver ikke kan styre din docker maskine

  • 0
  • 0
Log ind eller Opret konto for at kommentere