TeamTNT ohurühma liikme ilmselge turvalisuse tõrge paljastas mõned taktikad, mida ta kasutab halvasti konfigureeritud Dockeri serverite ärakasutamiseks.
Trend Micro turvateadlased seadsid hiljuti üles avatud Docker REST API-ga meepoti, et proovida mõista, kuidas ohus osalejad üldiselt kasutavad ära laialdaselt kasutatava pilvekonteinerite platvormi haavatavusi ja väärkonfiguratsioone. Nad avastasid TeamTNT - grupi, mille poolest tuntud selle pilvespetsiifilised kampaaniad — vähemalt kolm katset oma Dockeri meepotti ära kasutada.
"Ühel oma meepotil paljastasime tahtlikult serveri, mille Dockeri deemon oli REST API kaudu avatud," ütleb Trend Micro ohuuuringute insener Nitesh Surana. "Ohutegijad leidsid väärkonfiguratsiooni ja kasutasid seda kolm korda Saksamaal asuvatelt IP-delt, kus nad olid sisse logitud oma DockerHubi registrisse," ütleb Surana. "Meie tähelepanekute põhjal oli ründaja motivatsioon ära kasutada Dockeri REST API-d ja ohustada selle aluseks olevat serverit krüptootsingute tegemiseks."
Turvamüüja oma tegevuse analüüs lõpuks avastati mandaadid vähemalt kahe DockerHubi konto jaoks, mida TeamTNT kontrollis (rühm kuritarvitas DockerHubi tasuta konteineriregistri teenuseid) ja kasutas mitmesuguste pahatahtlike kasulike koormate, sealhulgas mündikaevurite levitamiseks.
Üks kontodest (nimega "alpineos") sisaldas pahatahtlikku konteineri kujutist, mis sisaldas juurkomplekte, Dockeri konteineri põgenemise komplekte, XMRig Monero mündikaevurit, mandaatide varastajaid ja Kubernetese äkilisi komplekte.
Trend Micro avastas, et pahatahtlikku pilti on alla laaditud rohkem kui 150,000 XNUMX korda, mis võib viia suure hulga nakkusteni.
Teisel kontol (sandeep078) oli sarnane pahatahtliku konteineri kujutis, kuid sellel oli palju vähem „tõmbeid” (ligikaudu 200) võrreldes eelmisega. Trend Micro osutas kolmele stsenaariumile, mis tõenäoliselt põhjustasid TeamTNT Dockeri registrikonto mandaatide lekke. Nende hulka kuuluvad DockerHubi kontolt väljalogimise ebaõnnestumine või nende masinate enesenakatamine.
Pahatahtlikud pilvekonteinerite pildid: kasulik funktsioon
Arendajad paljastavad sageli Dockeri deemoni selle REST API kaudu, et nad saaksid luua konteinereid ja käivitada kaugserverites Dockeri käske. Kui aga kaugserverid pole õigesti konfigureeritud – näiteks muutes need avalikult juurdepääsetavaks –, võivad ründajad servereid ära kasutada, ütleb Surana.
Sellistel juhtudel võivad ohus osalejad pahatahtlikke skripte käivitavatest piltidest ohustatud serveris konteineri kokku panna. Tavaliselt majutatakse neid pahatahtlikke pilte konteineriregistrites, nagu DockerHub, Amazon Elastic Container Registry (ECR) ja Alibaba konteinerite register. Ründajad saavad kasutada mõlemat ohustatud kontod Trend Micro on varem märkinud, et nendes registrites majutatakse pahatahtlikke pilte või saavad nad ise luua. Ründajad saavad ka oma privaatkonteinerite registris majutada pahatahtlikke pilte.
Surana märgib, et pahatahtliku pildi põhjal üles keerutatud konteinereid saab kasutada mitmesuguste pahatahtlike tegevuste jaoks. "Kui Dockerit töötava serveri Dockeri deemon on REST API kaudu avalikult eksponeeritud, võib ründaja kuritarvitada ja luua hostis ründaja juhitud piltide põhjal konteinereid," ütleb ta.
Suur hulk küberründaja kasuliku koormuse võimalusi
Need kujutised võivad sisaldada krüptokaevureid, ärakasutamiskomplekte, konteineri põgenemise tööriistu, võrku ja loendustööriistu. "Ründajad võivad neid konteinereid kasutades keskkonnas krüptovargimist, teenuse keelamist, külgsuunalist liikumist, privileegide suurendamist ja muid tehnikaid teha," selgub analüüsist.
"Arendajakeskseid tööriistu, nagu Docker, on teadaolevalt laialdaselt kuritarvitatud. Oluline on harida [arendajaid] laiemalt, luues juurdepääsu- ja mandaatide kasutamise eeskirju, samuti luua nende keskkondadele ohumudeleid, ”soovitab Surana.
Organisatsioonid peaksid ka tagama, et konteinerid ja API-d oleksid alati õigesti konfigureeritud, et tagada ärakasutamise minimeerimine. See hõlmab selle tagamist, et neile on juurdepääs ainult sisevõrgust või usaldusväärsetest allikatest. Lisaks peaksid nad järgima Dockeri juhiseid turvalisuse tugevdamiseks. Surana ütleb, et kasutajate mandaati sihitavate pahatahtlike avatud lähtekoodiga pakettide arvu suurenemise tõttu peaksid kasutajad vältima mandaatide failidesse salvestamist. Selle asemel soovitatakse neil valida sellised tööriistad nagu mandaadipoed ja abilised.
