A TeamTNT fenyegetettségi csoport egyik tagja által elkövetett nyilvánvaló üzembiztonsági csúsztatás felfedte azokat a taktikákat, amelyeket a rosszul konfigurált Docker-kiszolgálók kihasználására használ.
A Trend Micro biztonsági kutatói a közelmúltban létrehoztak egy Honeypot-ot a Docker REST API-val, hogy megpróbálják megérteni, hogyan használják ki a fenyegetések szereplői általában a sebezhetőségeket és a hibás konfigurációkat a széles körben használt felhőtároló platformon. Felfedezték a TeamTNT-t – egy olyan csoportot, amelyről ismert felhő-specifikus kampányait — legalább három kísérletet tesz Docker mézesedényének kihasználására.
„Az egyik mézesedényünkön szándékosan kitettünk egy szervert a Docker démonnal a REST API-n keresztül” – mondja Nitesh Surana, a Trend Micro fenyegetéskutató mérnöke. „A fenyegetés szereplői megtalálták a hibás konfigurációt, és háromszor is kihasználták azt a németországi IP-címekről, ahol bejelentkeztek a DockerHub regisztrációs adatbázisába” – mondja Surana. "Megfigyelésünk alapján a támadó motivációja az volt, hogy kihasználja a Docker REST API-t, és kompromittálja a mögöttes szervert a kriptojacking végrehajtásához."
A biztonsági eladóé a tevékenység elemzése végül legalább két, a TeamTNT által felügyelt DockerHub-fiók hitelesítő adatainak feltárásához vezetett (a csoport visszaélt a DockerHub ingyenes Container Registry szolgáltatásaival), és számos rosszindulatú rakomány terjesztésére használt, beleértve az érmebányászokat is.
Az egyik fiók ("alpineos" néven) tartalmazott egy rosszindulatú tárolóképet, amely rootkiteket, Docker konténermenekülési készleteket, XMRig Monero érmebányászt, hitelesítő adatlopókat és Kubernetes exploit készleteket tartalmazott.
A Trend Micro felfedezte, hogy a rosszindulatú képet több mint 150,000 XNUMX alkalommal töltötték le, ami fertőzések széles köréhez vezethet.
A másik fiók (sandeep078) egy hasonló rosszindulatú tárolóképet tartalmazott, de az előbbihez képest sokkal kevesebb „lehúzás” volt – csak körülbelül 200. A Trend Micro három forgatókönyvre mutatott rá, amelyek valószínűleg a TeamTNT Docker regisztrációs fiók hitelesítő adatainak kiszivárgását eredményezték. Ezek közé tartozik a DockerHub-fiókból való kijelentkezés sikertelensége vagy a gépeik önfertőzése.
Rosszindulatú felhőtároló képek: Hasznos szolgáltatás
A fejlesztők gyakran teszik elérhetővé a Docker démont a REST API-ján keresztül, így konténereket hozhatnak létre, és távoli szervereken futtathatnak Docker-parancsokat. Ha azonban a távoli kiszolgálók nincsenek megfelelően konfigurálva – például azzal, hogy nyilvánosan hozzáférhetővé teszik őket – a támadók kihasználhatják a szervereket, mondja Surana.
Ezekben az esetekben a fenyegetés szereplői egy tárolót hozhatnak létre a feltört szerveren olyan képekből, amelyek rosszindulatú szkripteket hajtanak végre. Ezeket a rosszindulatú képeket jellemzően konténer-nyilvántartások tárolják, például a DockerHub, az Amazon Elastic Container Registry (ECR) és az Alibaba Container Registry. A támadók bármelyiket használhatják feltört fiókok ezeken a regisztereken tárolják a rosszindulatú képeket, vagy létrehozhatják saját magukat – jegyezte meg korábban a Trend Micro. A támadók saját privát tároló-nyilvántartásukon is tárolhatnak rosszindulatú képeket.
A rosszindulatú képről kipörgetett tárolók számos rosszindulatú tevékenységhez felhasználhatók, jegyzi meg Surana. „Ha egy Dockert futtató kiszolgáló Docker-démonja nyilvánosan elérhetővé válik a REST API-n keresztül, a támadó visszaélhet, és a támadó által vezérelt képek alapján konténereket hozhat létre a gazdagépen” – mondja.
Rengeteg kibertámadási terhelési lehetőség
Ezek a képek rejtjelbányászokat, kihasználó készleteket, konténer-menekülési eszközöket, hálózati és felsorolóeszközöket tartalmazhatnak. Az elemzés szerint a támadók titkosítási feltörést, szolgáltatásmegtagadást, oldalirányú mozgást, privilégium-kiterjesztést és más technikákat hajthatnak végre a környezetben a konténerek használatával.
„A fejlesztőközpontú eszközökkel, mint a Docker, köztudott, hogy széles körben visszaélnek. Fontos a [fejlesztők] általános oktatása a hozzáférésre és a hitelesítő adatok használatára vonatkozó szabályzatok létrehozásával, valamint a környezetükre vonatkozó fenyegetési modellek létrehozásával” – hangoztatja Surana.
A szervezeteknek gondoskodniuk kell arról is, hogy a konténerek és API-k mindig megfelelően legyenek konfigurálva, hogy biztosítsák a kihasználások minimalizálását. Ez magában foglalja annak biztosítását, hogy csak a belső hálózatról vagy megbízható forrásokból legyenek elérhetők. Ezenkívül követniük kell a Docker biztonság erősítésére vonatkozó irányelveit. „A felhasználói hitelesítő adatokat célzó, rosszindulatú nyílt forráskódú csomagok növekvő számával a felhasználóknak kerülniük kell a hitelesítő adatok fájlokban való tárolását” – mondja Surana. Ehelyett azt tanácsolják, hogy válasszanak olyan eszközöket, mint a hitelesítő boltok és a segítők.”
