Следующая новость
Предыдущая новость

Уязвимые Docker-хосты находятся под угрозой заражения майнерами

06.03.2019 18:52
Уязвимые Docker-хосты находятся под угрозой заражения майнерами

Рекомендуем почитать:

Xakep #239. Вскрыть и изучить

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты компании Imperva предупреждают, что сотни Docker-хостов уязвимы перед проблемой CVE-2019-5736, обнаруженной в прошлом месяце. Хуже того, уязвимость уже используют для добычи криптовалюты.

Напомню, что уязвимость CVE-2019-5736 была найдена в инструменте для запуска контейнеров runC. Баг позволяет вредоносному контейнеру перезаписать исполняемый файл runC на хост-системе, при этом взаимодействие с пользователем требуется минимальное. Таким образом атакующий может получить root-доступ к хосту и возможность исполнять произвольный код.

Хотя патчи для этой проблемы практически сразу опубликовали все крупные производители и разработчики, тогда же в открытом доступе появился и PoC-эксплоит.

Теперь аналитики Imperva воспользовались поисковиком Shodan и подсчитали, что в онлайне в настоящее время можно обнаружить порядка 4000 Docker-хостов, причем у 3968 из них обнаружился открытый порт 2375, а еще у 74 нашли доступный порт 2376. Именно эти порты используются API для установки удаленных соединений.

Хуже того, по данным исследователей, лишь в 103 случаях Docker оказался обновлен до безопасной версии 18.09.2 или новее, то есть остальные 3939 оказались под угрозой атак.

Получив столь тревожные цифры, специалисты решили убедиться в правильности своих выводов и проверили, действительно ли найденные через Shodan IP доступны по 2735 порту. Протестировав 3822 IP-адреса, эксперты обнаружили, что 400 из них в самом деле доступны и уязвимы. Более того, экспертов уже опередили преступники: на многих непропатченных серверах обнаружились образы с майнерами, добывающими криптовалюту Monero.

Уязвимые Docker-хосты находятся под угрозой заражения майнерами

В заключении эксперты еще раз призывают всех устанавливать патчи своевременно и напоминают, что подобные уязвимости могут использовать не только для майнинга, но и для создания ботнетов, размещения фишинговых кампаний, кражи учетных данных и информации, последующих атак на внутренние сети и многого другого.

Источник

Последние новости