Atacatorii cibernetici și-au sporit atenția asupra serverelor de API Remote Docker expuse, utilizând malware-ul perfctl pentru a exploata vulnerabilitățile și a compromite infrastructurile containerizate ale organizațiilor.
TL;DR
- Atacatorii vizează în principal serverele de API Remote Docker fără protecție.
- Se utilizează o secvență de atac structurată pentru a exploata vulnerabilitățile.
- Configurațiile greșite ale Docker sunt principalele ținte ale acestei exploatări.
- Prevenirea include monitorizarea regulată și practici de securitate containerizate.
Atacurile asupra serverelor Docker Remote API
Hackerii au descoperit un punct vulnerabil esențial în serverele expuse Docker Remote API, folosind acest avantaj pentru a lansa malware-ul cunoscut sub denumirea de perfctl. Această formă sofisticată de malware permite actorilor malefici să profite de resursele infrastructurii gazdă, desfășurând activități malițioase fără a fi detectați.
Cum funcționează atacul
Atacatorii emit cereri de ping pentru a localiza serverele vulnerabile Docker Remote API. Odată identificate, aceștia configurează un container Docker cu setări specifice care permit exploatarea ulterioară. Execuția sarcinilor prin API-ul Docker Exec și escaladarea privilegiilor obținute prin comenzile ‘nsenter’ sunt etape esențiale și periculoase ale acestui proces.
Persistență și dificultăți de detectare
Utilizând tehnici avansate de persistență, malware-ul își menține accesul, deseori mascând procesele prin crearea de servicii systemd sau sarcini cron care rezistă repornirii sistemului. În plus, rerutarea traficului prin Tor complică și mai mult detectarea și atribuirea actelor malițioase, demonstrând un nivel ridicat de sofisticare al atacurilor.
Măsuri de prevenție și recomandări
Este esențial ca organizațiile să implementeze măsuri de securitate robustă pentru protejarea serverelor Docker Remote API. Acestea includ:
- Controlul accesului securizat: autentificări puternice și acces restricționat doar pentru personalul autorizat.
- Monitorizare regulată: supravegherea constantă a mediilor Docker pentru activități neobișnuite sau acces neautorizat.
- Cele mai bune practici pentru securitatea containerelor: evitarea modului privilegiat și analiza riguroasă a imaginilor și configurațiilor containerelor.
- Actualizarea la zi: asigurarea că toate software-urile Docker și cele conexe sunt la zi cu cele mai recente patch-uri de securitate.
- Instruirea angajaților: educarea personalului cu privire la cele mai bune practici de securitate și noile vectori de atac.
Această tendință emergentă sugerează un accent tot mai mare pe securitatea mediilor containerizate pentru a combate atacurile cibernetice tot mai sofisticate împotriva infrastructurilor digitale moderne.
Sursa articolului:
https://cybersecuritynews.com/hackers-exploiting-docker-remote-api-servers/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
