كشف خطأ أمني تشغيلي واضح من قبل أحد أعضاء مجموعة تهديد TeamTNT عن بعض التكتيكات التي يستخدمها لاستغلال خوادم Docker سيئة التكوين.
قام باحثو الأمن من Trend Micro مؤخرًا بإعداد موقع جذب باستخدام Docker REST API مكشوف لمحاولة فهم كيفية استغلال الجهات الفاعلة للتهديد بشكل عام للثغرات الأمنية والتكوينات الخاطئة في النظام الأساسي للحاويات السحابية المستخدمة على نطاق واسع. اكتشفوا TeamTNT - مجموعة معروفة حملاتها الخاصة بالسحابة - القيام بثلاث محاولات على الأقل لاستغلال مصيدة Docker.
يقول Nitesh Surana ، مهندس أبحاث التهديدات في Trend Micro: "في أحد مواضع الجذب الخاصة بنا ، كشفنا عمدًا عن خادم به Docker Daemon مكشوفًا عبر REST API". يقول Surana: "اكتشف الفاعلون المهددون التهيئة الخاطئة واستغلوها ثلاث مرات من عناوين IP الموجودة في ألمانيا ، حيث تم تسجيل دخولهم إلى سجل DockerHub الخاص بهم". "بناءً على ملاحظتنا ، كان دافع المهاجم هو استغلال Docker REST API واختراق الخادم الأساسي لأداء cryptojacking."
بائع الأمن تحليل النشاط أدى في النهاية إلى الكشف عن بيانات اعتماد لاثنين على الأقل من حسابات DockerHub التي سيطر عليها TeamTNT (كانت المجموعة تسيء استخدام خدمات DockerHub المجانية لتسجيل الحاويات) وكانت تستخدم لتوزيع مجموعة متنوعة من الحمولات الضارة ، بما في ذلك عمال المناجم.
استضاف أحد الحسابات (باسم "alpineos") صورة حاوية ضارة تحتوي على أدوات rootkits ، ومجموعات للهروب من حاوية Docker ، و XMRig Monero Coin Miner ، وسرقة بيانات الاعتماد ، ومجموعات استغلال Kubernetes.
اكتشفت Trend Micro أن الصورة الخبيثة قد تم تنزيلها أكثر من 150,000 ألف مرة ، وهو ما يمكن أن يترجم إلى مجموعة واسعة من الإصابات.
استضاف الحساب الآخر (sandeep078) صورة حاوية خبيثة مماثلة ولكن كان لديه عدد أقل بكثير من "عمليات السحب" - حوالي 200 - مقارنة بالحالة الأولى. أشارت Trend Micro إلى ثلاثة سيناريوهات من المحتمل أن تؤدي إلى تسرب بيانات اعتماد حساب تسجيل TeamTNT Docker. يتضمن ذلك فشل تسجيل الخروج من حساب DockerHub أو أن أجهزتهم مصابة ذاتيًا.
صور حاوية سحابة ضارة: ميزة مفيدة
غالبًا ما يعرض المطورون Docker daemon عبر REST API حتى يتمكنوا من إنشاء حاويات وتشغيل أوامر Docker على الخوادم البعيدة. ومع ذلك ، إذا لم يتم تكوين الخوادم البعيدة بشكل صحيح - على سبيل المثال ، من خلال جعلها متاحة للجمهور - يمكن للمهاجمين استغلال الخوادم ، كما يقول سورانا.
في هذه الحالات ، يمكن للجهات الفاعلة في التهديد أن تقوم بتدوير حاوية على الخادم المخترق من الصور التي تنفذ نصوصًا ضارة. عادةً ما يتم استضافة هذه الصور الضارة في سجلات الحاويات مثل DockerHub و Amazon Elastic Container Registry (ECR) و Alibaba Container Registry. يمكن للمهاجمين استخدام أي منهما الحسابات المخترقة في هذه السجلات لاستضافة الصور الضارة ، أو يمكنهم إنشاء صورهم الخاصة ، كما أشارت Trend Micro سابقًا. يمكن للمهاجمين أيضًا استضافة صور ضارة في سجل الحاويات الخاص بهم.
يلاحظ سورانا أن الحاويات التي تم نسجها من صورة ضارة يمكن استخدامها في مجموعة متنوعة من الأنشطة الخبيثة. يقول: "عندما يعرض خادم يقوم بتشغيل Docker Docker Daemon علنًا عبر واجهة برمجة تطبيقات REST ، يمكن للمهاجم إساءة استخدام وإنشاء حاويات على المضيف استنادًا إلى الصور التي يتحكم فيها المهاجم".
عدد كبير من خيارات الحمولة النافعة للمهاجم الإلكتروني
قد تحتوي هذه الصور على أدوات تشفير ، ومجموعات استغلال ، وأدوات هروب من الحاويات ، وشبكة ، وأدوات تعداد. ووفقًا للتحليل ، "يمكن للمهاجمين تنفيذ عمليات الاستيلاء على التشفير ، ورفض الخدمة ، والحركة الجانبية ، وتصعيد الامتيازات ، وتقنيات أخرى داخل البيئة باستخدام هذه الحاويات".
"من المعروف أن الأدوات التي تركز على المطورين مثل Docker يتم إساءة استخدامها على نطاق واسع. من المهم تثقيف [المطورين] بشكل عام من خلال وضع سياسات للوصول واستخدام بيانات الاعتماد ، بالإضافة إلى إنشاء نماذج تهديد لبيئاتهم "، كما يدعو سورانا.
يجب أن تضمن المنظمات أيضًا أن الحاويات وواجهات برمجة التطبيقات يتم تكوينها دائمًا بشكل صحيح لضمان تقليل عمليات الاستغلال إلى الحد الأدنى. يتضمن ذلك التأكد من أنه لا يمكن الوصول إليها إلا من خلال الشبكة الداخلية أو من خلال مصادر موثوقة. بالإضافة إلى ذلك ، يجب عليهم اتباع إرشادات Docker لتعزيز الأمان. يقول سورانا: "مع تزايد عدد الحزم الخبيثة مفتوحة المصدر التي تستهدف بيانات اعتماد المستخدم ، يجب على المستخدمين تجنب تخزين بيانات الاعتماد في الملفات. بدلاً من ذلك ، يُنصح باختيار أدوات مثل مخازن الاعتماد والمساعدين ".
