תקלת אבטחה תפעולית לכאורה של חבר בקבוצת האיומים TeamTNT חשפה כמה מהטקטיקות שבהן היא משתמשת כדי לנצל שרתי Docker עם תצורה גרועה.
חוקרי אבטחה מ-Trend Micro הקימו לאחרונה סיר דבש עם Docker REST API חשוף כדי לנסות ולהבין כיצד גורמי איומים באופן כללי מנצלים פגיעויות ותצורות שגויות בפלטפורמת מיכלי הענן הנפוצה. הם גילו את TeamTNT - קבוצה ידועה הקמפיינים הספציפיים לענן שלו - עושה לפחות שלושה ניסיונות לנצל את סיר הדבש של Docker.
"באחד מעציצי הדבש שלנו, חשפנו בכוונה שרת עם ה-Docker Daemon חשוף מעל REST API", אומר Nitesh Surana, מהנדס מחקר איומים ב- Trend Micro. "שחקני האיום מצאו את התצורה השגויה וניצלו אותה שלוש פעמים מכתובות IP המבוססות בגרמניה, שם הם התחברו לרישום ה-DockerHub שלהם", אומר סוראנה. "בהתבסס על התצפית שלנו, המוטיבציה של התוקף הייתה לנצל את Docker REST API ולסכן את השרת הבסיסי כדי לבצע cryptojacking."
של ספק האבטחה ניתוח הפעילות בסופו של דבר הובילה לחשיפת אישורים של לפחות שני חשבונות DockerHub שבהם שלטה TeamTNT (הקבוצה ניצלה לרעה את שירותי ה-DockerHub Container Registry החינמיים) והשתמשה להפצת מגוון מטענים זדוניים, כולל כורי מטבעות.
אחד החשבונות (עם השם "alpineos") אירח תמונת מיכל זדונית המכילה ערכות שורש, ערכות למילוט מכלי Docker, כורה המטבעות XMRig Monero, גונבי אישורים וערכות ניצול של Kubernetes.
טרנד מיקרו גילתה שהתמונה הזדונית הורדה יותר מ-150,000 פעמים, מה שעלול לתרגם למגוון רחב של זיהומים.
החשבון השני (sandeep078) אירח תמונת מיכל זדונית דומה, אך היו לו הרבה פחות "משיכות" - בערך 200 - בהשוואה לקודם. Trend Micro הצביעה על שלושה תרחישים שסביר להניח שהובילו להדלפת אישורי הרישום של TeamTNT Docker. אלה כוללים כשל ביציאה מחשבון DockerHub או שהמכונות שלהם נדבקו בעצמם.
תמונות מיכל ענן זדוניות: תכונה שימושית
לעתים קרובות מפתחים חושפים את הדמון של Docker על ה-REST API שלו, כך שהם יכולים ליצור קונטיינרים ולהפעיל פקודות Docker בשרתים מרוחקים. עם זאת, אם השרתים המרוחקים אינם מוגדרים כראוי - למשל, על ידי הפיכתם לנגישים לציבור - תוקפים יכולים לנצל את השרתים, אומר סוראנה.
במקרים אלה, גורמי איומים יכולים לסובב מיכל בשרת שנפרץ מתמונות שמבצעות סקריפטים זדוניים. בדרך כלל, תמונות זדוניות אלו מתארחות ברישום מיכל כגון DockerHub, Amazon Elastic Container Registry (ECR) ו-Alibaba Container Registry. תוקפים יכולים להשתמש בשניהם חשבונות שנפגעו על רישום אלה לארח את התמונות הזדוניות, או שהם יכולים להקים משלהם, ציינה בעבר Trend Micro. תוקפים יכולים גם לארח תמונות זדוניות ברישום המכילים הפרטי שלהם.
מיכלים שמסתובבים מתמונה זדונית יכולים לשמש למגוון פעילויות זדוניות, מציינת סוראנה. "כאשר לשרת המריץ את Docker יש את ה-Docker Daemon שלו חשוף בפומבי דרך REST API, תוקף יכול לעשות שימוש לרעה וליצור קונטיינרים על המארח בהתבסס על תמונות הנשלטות על ידי תוקף", הוא אומר.
שפע של אפשרויות מטען סייבר
תמונות אלו עשויות להכיל קריפטומינרים, ערכות ניצול, כלי מילוט מכלולים, רשת וכלי ספירה. "התוקפים יכולים לבצע קריפטו-jacking, מניעת שירות, תנועה לרוחב, הסלמה של הרשאות וטכניקות אחרות בתוך הסביבה באמצעות מיכלים אלה", על פי הניתוח.
"כלים ממוקדי מפתחים כמו Docker נודעו כמנוצלים לרעה באופן נרחב. חשוב לחנך את [המפתחים] בכללותו על ידי יצירת מדיניות לגישה ושימוש באישורים, כמו גם ליצור מודלים של איומים של הסביבות שלהם", תומך סוראנה.
ארגונים צריכים גם לוודא שמכולות וממשקי API מוגדרים תמיד כראוי כדי להבטיח שהניצול ממוזער. זה כולל הבטחה שהם נגישים רק על ידי הרשת הפנימית או על ידי מקורות מהימנים. בנוסף, עליהם לפעול לפי ההנחיות של Docker לחיזוק האבטחה. "עם המספר העולה של חבילות קוד פתוח זדוניות המכוונות לאישורי משתמש", אומר סוראנה, "על המשתמשים להימנע מאחסנת אישורים בקבצים. במקום זאת, מומלץ להם לבחור בכלים כמו חנויות אישורים ועוזרים".
