Cryptominers capturam centenas de hosts do Docker
Uma vulnerabilidade divulgada recentemente na plataforma de contêineres do Docker está sendo explorada por criminosos cibernéticos para “sequestrar” a criptomoeda do Monero (XMR) em centenas de servidores.
A empresa de segurança Imperva usou o Shodan para encontrar portas abertas executando o Docker, encontrando 3.822 nas quais a API remota da plataforma foi exposta publicamente.
Destes, cerca de 400 tinham endereços IP acessíveis na porta 2735/2736, as portas de escuta da API. A maioria acabou por executar os cryptominers, com servidores de produção MySQL e Apache legítimos, em número menor.
Usado para configurar contêineres, as portas da API do Docker não devem ser acessadas externamente. Combinado com o CVE-2019-5736, uma vulnerabilidade crítica de acesso raiz no tempo de execução do contêiner padrão do Docker, o runC, isso pode levar rapidamente a um comprometimento total.
Por pior que a mineração criptografada soe, os pesquisadores explicam que os invasores poderiam fazer muito pior com os hosts do Docker, incluindo roubar as credenciais para atacar a rede interna, hospedar campanhas de phishing e malware e até mesmo criar botnets:
“As possibilidades de invasores após gerar um contêiner em hosts do Docker hackeados são infinitas”.
Sem mencionar que esses anfitriões ainda estãoexplorando o Monero para ganho ilegal:
“As transações do Monero são ofuscadas, o que significa que é quase impossível rastrear a origem, a quantia ou o destino de uma transação”.
O que fazer?
A preocupação é que centenas de hosts do Docker já foram comprometidos com muito mais potencial em oferta. Claramente, se a falha de runC estiver sendo explorada, isso significa que os administradores não a corrigiram. Dada a seriedade, isso é uma surpresa.
A atualização do Docker para a v18.09.2 ou posterior deve corrigir essa falha, embora ainda seja importante garantir que ela tenha sido implementada com segurança em primeiro lugar (a Imperva viu as credenciais armazenadas de maneira insegura como variáveis de ambiente, por exemplo).
Em junho passado, os sites que executaram o Drupal CMS que foram atingidos pelo ataque de criptomoagem “Drupalgeddon 2” Monero meses após a correção da vulnerabilidade, CVE-2018-7600, que foi corrigida.
