هاست های آسیب پذیر داکر (Docker) به صورت مداوم مورد حمله کمپین های cryptojacking قرار می گیرند

هاست های آسیب پذیر داکر (Docker) به صورت مداوم مورد حمله کمپین های cryptojacking  قرار می گیرند

صدها هاست آسیب پذیر Docker مورد هجوم حملات کمپین های cryptojacking قرار گرفتند. این کمپین ها از این هاست های آسیب پذیر استفاده کرده و با استفاده از منابع سیستم (cpu, Graphic card,...) ارز دیجیتال تولید می کنند.

صدها هاست Docker در معرض خطر و آسیب پذیر، پس از به خطر افتادن توسط اکسپلویت های طراحی شده جهت سو استفاده از آسیب پذیری CVE-2019-5736 runc توسط کمپین cryptojacking در ماه گذشته مورد اخاذی قرار گرفتند.

خطای CVE-2019-5736 runc باعث بروز آسیب می شود و به مهاجمان بالقوه اجازه می دهد تا با اجرای یک محتوای آلوده به فایل سیستمی هاست دسترسی داشته باشند، رجیستر موجود در سیستم را بازنویسی کنند و دستورات دلخواه را در محتوای سیستم میزبان اجرا کنند.

هنگامیکه نقص امنیتی Breakout برای runC در همان روز توسط چندین فروشنده مانند آمازون، گوگل وDocker  رفع اشکال شده بود و یکی از کارمندان RunC پچی که برای رفع اشکال این مشکل طراحی شده بود را منتشر کرد، هنوز هم هزاران نفر از استفاده کنندگان Docker باقی ماندند که رفع اشکال نشدند.

پس از افشای آسیب پذیری در روز 11 فوریه، حدود 3،951 دیمون داکر در معرض قرار داشتند و همانطور که توسطVitaly Simonovich و Ori Nakar کشف شد، این تعداد تقریبا ثابت باقی مانده و تقریبا 4042 در حال حاضر قابل دسترسی است.

محققان امنیتی یک مرحله فراتر رفتند و آزمایش کردند تا ببینند کدامیک از هاست هایی که در معرض خطر قرار گرفتند توسط جستجوی Shadon به وسیله متصل شدن آیپی روی پورت 2735 قابل دسترس هستند و تصاویر Docker را لیست می کنند.

به دنبال تست های آنها، آنها متوجه شدند که از 38222 آی پی که در موتور جستجوی شودان وجود داشتند، حدود 400 تا از آنها در دسترس بودند.

در سرورهایی که به دلیل استفاده از API Docker در معرض ارتباطات از راه دور قرار داشتند و پچ نشده بودند و قابل دسترسی بودند، (معمولاً تنها از طریق رابط لوپ بک localhost / 127.0.0.1 قابل دسترسی بودند) محققان تصاویر Docker از ساخت ارز دیجیتال، و همچنین خدمات قانونی و محیط های تولید را پیدا کردند.

 

تصاویر Docker که در سرورهای قابل دسترسی یافت می شود

 

همانطور که در تجزیه و تحلیل Imperva شرح داده شده است:

"ما متوجه شدیم که بیشتر IP های remote API Docker در معرض استخراج ارزهای دیجیتالی برای پولی به نام مونرو قرار گرفته اند. معاملات مونرو مبهم هستند، به این معنی که تقریبا غیرممکن است که منبع، مقدار یا مقصد این معاملات ردیابی شوند.

هاست های دیگر که در حال اجرا بودند، به نظر می رسید که MySQL database، Apache Tomcat و غیره هستند."

با توجه به اینکه cryptojacker ها (کسانیکه مخفیانه از دستگاههای شما استفاده می کنند تا ارز دیجیتال استخراج کنند) صدها هاست را در معرض خطر قرار دادند و صدها هاست دیگر نیز برای بهره جویی به راحتی در دسترس هستند. این کمپین جدید cryptojacking که مبتنی بر Docker می باشد اگر آسیب پذیری دیمون، پچ یا رفع اشکال نشده باشد، می تواند ثابت کند که خیلی سودآور است.

گرچه تیم تحقیقاتی Imperva تنها نمونه ای از سوء استفاده ی آسیب پذیری دیمون های Docker را نشان می دهد. مهاجمان بالقوه بیشتری وجود دارند که می توانند از سرورهای آسیب پذیر برای:

- حملات بیشتری با آی پی ماسک ها انجام دهند.

- یک botnet تولید کنند.

- سرویس های هاست برای کمپین فیشینگ

- سرقت اطلاعات و گذرواژه ها

- حملات Pivot به شبکه داخلی

در دلیل اینکه مواردی وجود دارد که Docker API نیاز به دسترسی از راه دور دارد، Imperva توصیه می کند که سیاست های امنیتی مناسبی طراحی کنید تا همانطور که در بخش Docker remote daemon chapter در مستندات موجود در وب سایت Docker توضیح داده شده است، تنها به منابع مورد اعتمادتون اجازه دسترسی به API را بدهید.

منبع: Bleepingcomputer.com