Ongepatchte Docker-hosts doelwit van cryptojacking-campagne

Hackers hebben honderden ongepatchte Docker-hosts succesvol weten aan te vallen. De cybercriminelen wisten de hosts in te zetten voor het draaien van cryptomining scripts. Dat stelt beveiligingsbedrijf Imperva in een nieuw rapport, meldt Silicon Angle.

De nieuwe golf aanvallen op Docker volgt na de bekendmaking van een kwetsbaarheid in februari, die bekend staat onder CVE-2019-5736. Dit is een RunC-kwetsbaarheid. RunC is de onderliggende container runtime voor onder meer Docker, Kubernetes en andere containerafhankelijke programma’s. RunC is een open source command line-tool waarmee het mogelijk is om containers te maken en te draaien.

De kwetsbaarheid laat een aanvaller host root access verkrijgen in een Docker-container. Vervolgens kunnen de aanvallers doen wat zij willen, maar ze blijken vooral cryptojacking uit te voeren. Bij cryptojacking wordt de processorkracht een systeem ingezet om cryptovaluta te minen voor de aanvallers.

Monero

De onderzoekers vonden met de Shodan-zoekmachine 3.822 Docker-hosts met hun remote application programming interface open en openbaar. De onderzoekers probeerden verbinding te maken met de hosts via poort 2735. Dat resulteerde in 400 succesvolle verbindingen.

“We ontdekten dat de meeste van de blootgestelde Docker remote API IP’s een cryptovaluta-miner draaien voor een valuta genaamd Monero”, aldus de onderzoekers. “Monero-transacties zijn verduisterd, wat betekent dat het vrijwel onmogelijk is om de bron, het bedrag of de bestemming van een transactie te volgen.”

De onderzoekers waarschuwen dat dezelfde ongepatchte hosts ook kwetsbaar zijn voor botnet-verbindingen, diefstal van data en het aanmaken van host-diensten voor phishing-campagnes.

Beveiliging

De onderzoekers raden aan om de laatste beveiligingsupdates te downloaden en installeren. Op 12 februari werd een patch voor de kwetsbaarheid uitgerold. Ook concluderen de onderzoekers dat Docker zo geconfigureerd kan worden dat het beschermd tegen dergelijke aanvallen.

“Het blootstellen van poorten kan handig zijn en is mogelijk vereist door apps van derde partijen, zoals ‘portainer’, een management UI voor Docker”, aldus de onderzoekers. “Maar je moet er wel zeker van zijn dat je beveiligingsmechanismen inbouwt die alleen vertrouwde bronnen laten praten met de API.”