Docker API配置错误漏洞被利用
Posted Ots安全
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Docker API配置错误漏洞被利用相关的知识,希望对你有一定的参考价值。
近年来,对像Docker这样的云原生环境的网络攻击急剧增加。为了在攻击中保持持久性,最近发现黑客利用错误配置的Docker API并直接在主机上构建攻击。
2020年7月,Aqua的Nautilus小组网络安全研究人员发现了一种针对Docker映像的新型攻击,防御者很难使用传统的安全机制(如静态扫描仪)来检测到这种攻击。
攻击者通过利用配置错误的Docker API端口来构建恶意映像,而不是从公共注册表中提取恶意映像。攻击者使用合法的原始映像(例如Alpine或Ubuntu),并在机器构建期间从远程源下载XMRIG等恶意元素。
机器脱离后,恶意攻击来自系统内部的新建机器,这使基于静态扫描仪的安全系统无法使用。
与传统攻击不同,这些攻击中使用的映像不会存储在任何地方,因此没有人可以删除这些映像。另外,图像的名称以及可能的ID是随机生成的,因此对于每个主机都是唯一的。因此,防御者无法将图像添加到受限列表中。
对Docker服务器的其他威胁
最近已观察到针对Docker容器化技术的针对性攻击,在最近几年中已变得更加频繁。
2020年6月,针对Docker服务器的一系列有组织的攻击部署了DDoS恶意软件变体XORDDoS,Kaiji,DOFLOO和SDDOS,并使用具有暴露端口(2375)的Docker服务器进行未加密和未经身份验证的通信。
2020年4月,一场自我传播的加密采矿活动使用Kinsing恶意软件和'kdevtmpfsi'加密矿机,针对配置错误的开放Docker Daemon API端口进行了攻击。
以上是关于Docker API配置错误漏洞被利用的主要内容,如果未能解决你的问题,请参考以下文章
利用DNS Zone Transfers漏洞工具dnswalk