數百個暴露在公網的Docker主機恐遭劫持
近期,安全專家在外網發現了數百臺被黑客攻擊的Docker伺服器。這些伺服器在2月份受到了cve-2019-5736 runc漏洞的攻擊。
這個漏洞是由安全研究人員Adam Iwaniuk和Borys Pop?awski發現的,SuSE Linux GmbH的高級軟體工程師Aleksa Sarai披露了漏洞的詳細信息,主要影響了runc這個工具,而這個工具主要是Docker等容器的運行引擎。
這類工具的漏洞可能會對IT環境產生重大影響,造成容器逃逸,影響整個容器主機,最終危及運行在伺服器上其他容器。
同時,這一漏洞也會影響全球範圍內流行的雲產品,包括AWS、谷歌雲和幾個Linux發行版系統。
容器逃逸的PoC利用代碼已在GitHub上發布,要執行必須需要root許可權。
Github上的PoC說明寫道:「這是用Go語言編寫的CVE-2019-5736漏洞的PoC,這是一個Docker容器逃逸漏洞。主要原理從容器覆蓋並執行宿主機上runc二進位文件。」
「攻擊者需要能在容器內執行命令,並啟動一個惡意監控軟體。當有人(攻擊者或受害者)使用Docker Exec進入容器時,就會以root身份執行攻擊,非法覆蓋文件,執行惡意命令。」
雖然這個漏洞以披露近一個月,但不幸的是,仍然有數千個暴露在公網的Docker主機沒有打補丁。
該漏洞於2月11日披露,當時公網大約有3951個Docker實例。現在,來自Imperva的安全專家Vitaly Simonovich和Ori Nakar發現了大約4042個暴露在公網的Docker實例。
在撰寫本文時,shodan共發現公網上3860個Docker的2375埠,其中74個埠可以訪問。安全專家指出,只有100個守護進程被更新到18.09.2或更新版本,其餘的實例仍然容易受到攻擊。
安全專家還發現,這些暴露在公網的未補丁伺服器可利用迴環介面(「localhost」,「127.0.0.1」)來訪問Docker API。
「我們發現3822臺Docker主機開啟了遠程API。」Imperva發布的分析顯示。
「我們想看看這些IP中有多少是真正可利用的。最終,我們發現大約有400個IP可以訪問。」
研究人員還從Docker的鏡像中發現了挖礦軟體,看上去像合法的服務。
「我們發現大多數可遠程訪問API的Docker都在運行一個名為Monero的加密貨幣挖礦軟體。門羅幣的交易是難以追蹤的,可用於各種非法交易。」
「其他Docker主機運行的基本都是MySQL資料庫、Apache Tomcat等生產環境。」
專家指出,攻擊者利用這個漏洞可創建殭屍網路,偷取用戶憑證等。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:數百個暴露在公網的Docker主機恐遭劫持|NOSEC安全訊息平臺 - NOSEC.ORG
原文:https://securityaffairs.co/wordpress/81981/hacking/docker-hosts-cryptojacking-campaigns.html
白帽匯從事信息安全,專註於安全大數據、企業威脅情報。
公司產品:FOFA-網路空間安全搜索引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。
推薦閱讀:
