近期,安全专家在外网发现了数百台被黑客攻击的Docker服务器。这些服务器在2月份受到了cve-2019-5736 runc漏洞的攻击。
这个漏洞是由安全研究人员Adam Iwaniuk和Borys Popławski发现的,SuSE Linux GmbH的高级软件工程师Aleksa Sarai披露了漏洞的详细信息,主要影响了runc这个工具,而这个工具主要是Docker等容器的运行引擎。
这类工具的漏洞可能会对IT环境产生重大影响,造成容器逃逸,影响整个容器主机,最终危及运行在服务器上其他容器。
同时,这一漏洞也会影响全球范围内流行的云产品,包括AWS、谷歌云和几个Linux发行版系统。
容器逃逸的PoC利用代码已在GitHub上发布,要执行必须需要root权限。
Github上的PoC说明写道:“这是用Go语言编写的CVE-2019-5736漏洞的PoC,这是一个Docker容器逃逸漏洞。主要原理从容器覆盖并执行宿主机上runc二进制文件。”
“攻击者需要能在容器内执行命令,并启动一个恶意监控软件。当有人(攻击者或受害者)使用Docker Exec进入容器时,就会以root身份执行攻击,非法覆盖文件,执行恶意命令。”
虽然这个漏洞以披露近一个月,但不幸的是,仍然有数千个暴露在公网的Docker主机没有打补丁。
该漏洞于2月11日披露,当时公网大约有3951个Docker实例。现在,来自Imperva的安全专家Vitaly Simonovich和Ori Nakar发现了大约4042个暴露在公网的Docker实例。
在
撰写本文时,shodan共发现公网上3860个Docker的2375端口,其中74个端口可以访问。安全专家指出,只有100个守护进程被更新到18.09.2或更新版本,其余的实例仍然容易受到攻击。
安全专家还发现,这些暴露在公网的未补丁服务器可利用回环接口(“localhost”,“127.0.0.1”)来访问Docker API。
“我们发现3822台Docker主机开启了远程API。”Imperva发布的分析显示。
“我们想看看这些IP中有多少是真正可利用的。最终,我们发现大约有400个IP可以访问。”
研究人员还从Docker的镜像中发现了挖矿软件,看上去像合法的服务。
“我们发现大多数可远程访问API的Docker都在运行一个名为Monero的加密货币挖矿软件。门罗币的交易是难以追踪的,可用于各种非法交易。”
“其他Docker主机运行的基本都是MySQL数据库、Apache Tomcat等生产环境。”
专家指出,攻击者利用这个漏洞可创建僵尸网络,偷取用户凭证等。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/81981/hacking/docker-hosts-cryptojacking-campaigns.html