Monero_metal-990x557

Impervas Sicherheitsforscher berichteten, dass Krypto-Miner Hunderte von zerbrechlichen Docker-Hosts einer Krypto-Währung namens Monero ausnutzten. Monero-Transaktionen werden verschleiert, so dass Quelle, Betrag oder Ziel einer Transaktion kaum nachvollziehbar sind.

In Kryptojackingkampagnen werden Hunderte von verwundbaren und exponierten Docker-Hosts missbraucht, nachdem sie mit Hilfe von Exploits kompromittiert wurden, die die Vorteile der CVE-2019 – 5736 runC-Schwachstelle nutzen sollen.

Nach der Offenlegung einer Schwachstelle im Februar, einem runC-Fehler, der es einem Angreifer ermöglicht, den Zugriff auf den Host-Root in einem Docker-Container zu sichern, hat die neue Welle von Angriffen auf Docker begonnen. Die Angreifer können einmal durch die Tür gehen, was sie wollen, aber Kryptoentführung scheint die bevorzugte Aktivität zu sein.

Die Sicherheitsfirma Imperva nutzte Shodan als Werkzeug, um offene Docker-Ports zu finden, und fand 3.822, auf denen die entfernte API der Plattform öffentlich zugänglich war. Etwa 400 dieser Ports hatten IP-Adressen, die über den Port 2735/2736 zugänglich waren. Die Mehrheit von ihnen waren Kryptomaschinen, die betrieben wurden, mit einer kleineren Anzahl von legitimen MySQL- und Apache-Produktionsservern.

„Wir haben festgestellt, dass ein Kryptowährungsminierer für eine Währung namens Monero die meisten der exponierten Docker Remote-API-IPs betreibt“, sagten die Forscher.

„Monero-Transaktionen sind verschleiert, was bedeutet, dass die Quelle, der Betrag oder das Ziel einer Transaktion fast unmöglich zu verfolgen ist.“

Da Kryptojacker bereits Hunderte von Hosts kompromittiert haben und Hunderte für die Ausbeutung zur Verfügung stehen, kann diese neue Kryptojacke powered by Docker eine High-Profit-Kampagne sein, wenn gefährdete Dämonen nicht gepatcht werden.

Obwohl das Imperva-Forschungsteam nur einen Fall von Missbrauch verwundbarer Docker-Daemons aufzeigte, kann es viel mehr potenzielle Angriffe geben, die auf kompromittierten Servern auftreten könnten. Einige von ihnen sind es,

1) Maskierte IP-Angriffe

2) Botnet-Erstellung

3) Hosting-Dienste für Phishing-Kampagnen

4) Daten und Anmeldeinformationen stehlen

5) Pivotal interne Netzwerkangriffe

Ursprünglich von Docker Inc. entwickelt, wurde die Docker Container Platform später in die Open-Source-Community verschoben. In der sechsjährigen Geschichte des Unternehmens werden Docker-Container 85 Billionen Mal heruntergeladen, was das potenzielle Ausmaß der Bedrohung durch die Kryptominen zeigt. Die runC-Spezifikation ist eine OCI-Laufzeit, die in der Docker Engine verwendet wird und enthalten ist.

Obwohl es Fälle gibt, in denen die Docker-API einen Fernzugriff erfordert, empfiehlt Imperva, angemessene Sicherheitskontrollen einzurichten, um den Zugriff auf die API nur von vertrauenswürdigen Quellen zu ermöglichen, wie im Kapitel Securing Docker Remote Daemon auf der Docker-Dokumentations-Website beschrieben. „Es kann nützlich sein, Docker-Ports und Drittanbieteranwendungen wie ‚ portainer, ‚ eine Docker-Management-Benutzeroberfläche, ‚ die sie geschlossen haben, freizulegen.“ Sie müssen jedoch sicherstellen, dass Sicherheitskontrollen erstellt werden, die eine Interaktion mit der Docker-API nur von vertrauenswürdigen Quellen ermöglichen.

Derzeit ist die Sorge, dass Hunderte von Docker-Hosts potenziell gefährdet sind. Es versteht sich von selbst, dass, wenn der runC-Fehler verwendet wird, die Administratoren das Problem noch nicht behoben haben. Die Aktualisierung von Docker auf v18.09.2 oder höher sollte diesen Fehler beheben, obwohl es immer noch wichtig ist, sicherzustellen, dass er von Anfang an sicher implementiert wird.