Docker API配置错误漏洞被利用

Posted 2021-03-31 Ots安全

近年来，对像Docker这样的云原生环境的网络攻击急剧增加。为了在攻击中保持持久性，最近发现黑客利用错误配置的Docker API并直接在主机上构建攻击。

2020年7月，Aqua的Nautilus小组网络安全研究人员发现了一种针对Docker映像的新型攻击，防御者很难使用传统的安全机制（如静态扫描仪）来检测到这种攻击。

• 攻击者通过利用配置错误的Docker API端口来构建恶意映像，而不是从公共注册表中提取恶意映像。攻击者使用合法的原始映像（例如Alpine或Ubuntu），并在机器构建期间从远程源下载XMRIG等恶意元素。

• 机器脱离后，恶意攻击来自系统内部的新建机器，这使基于静态扫描仪的安全系统无法使用。

• 与传统攻击不同，这些攻击中使用的映像不会存储在任何地方，因此没有人可以删除这些映像。另外，图像的名称以及可能的ID是随机生成的，因此对于每个主机都是唯一的。因此，防御者无法将图像添加到受限列表中。

对Docker服务器的其他威胁

最近已观察到针对Docker容器化技术的针对性攻击，在最近几年中已变得更加频繁。

• 2020年6月，针对Docker服务器的一系列有组织的攻击部署了DDoS恶意软件变体XORDDoS，Kaiji，DOFLOO和SDDOS，并使用具有暴露端口（2375）的Docker服务器进行未加密和未经身份验证的通信。

• 2020年4月，一场自我传播的加密采矿活动使用Kinsing恶意软件和'kdevtmpfsi'加密矿机，针对配置错误的开放Docker Daemon API端口进行了攻击。