Злоумышленники взламывают хосты Docker и устанавливают криптомайнеры

Сотни доступных через интернет уязвимых хостов Docker стали жертвами криптоджекинга. Злоумышленники взломали их с помощью эксплоита для недавно обнаруженной уязвимости CVE-2019-5736 и устанавливают майнеры криптовалют.

Уязвимость была обнаружена в прошлом месяце в среде RunC. С ее помощью злоумышленник из вредоносного контейнера может переписать RunC и запускать произвольные команды на хост-системе. Хотя множество вендоров исправили уязвимость в своих продуктах в один день (в том числе Amazon, Google и Docker), а один из мейнтейнеров RunC выпустил патч, тысячи демонов Docker по-прежнему остаются уязвимыми.

На момент раскрытия уязвимости 11 февраля 2019 года насчитывалось порядка 3951 демон Docker, доступный online, а в настоящее время их число достигло 4042. 3968 из них доступны через открытый порт 2375, 74 – через порт 2376 (оба порта используются Docker API для установки удаленного соединения). Только 103 доступных через интернет демона Docker были обновлены до версии 18.09.2, в которой уязвимость была исправлена, или до более поздних версий.

Как обнаружили исследователи безопасности Imperva Виталий Симонович и Ори Накар (Ori Nakar), из 38222 IP-адресов, найденных ими через поисковик Shodan, получить доступ можно к 400 IP-адресам. На всех доступных хостах исследователи обнаружили майнеры криптовалюты Monero.