Verkeerd geconfigureerde Docker-servers besmet met malware

[Captain Kirk]

Aanvaller zoeken actief naar verkeerd geconfigureerde Docker-servers om die vervolgens met malware te infecteren. Daarvoor waarschuwt securitybedrijf Aqua Security. Om toegang tot de servers te krijgen maken de aanvallers gebruik van een onbeveiligde open Docker API-poort.

Zodra er via deze poort verbinding is gemaakt starten de aanvallers een Ubuntu-container waarin de Kinsing-malware draait. Deze malware heeft als primair doel het draaien van een cryptominer, maar probeert ook andere containers en servers te infecteren. Om zich lateraal door het containernetwerk te bewegen laadt de malware een script dat SSH-inloggegevens opslaat. Met deze gegevens probeert de malware vervolgens op andere servers in te loggen en zich verder te verspreiden.

Organisaties krijgen het advies om al hun cloudsystemen in kaart te brengen, het principe van zo min mogelijk rechten toe te passen, gebruikte images te controleren en logbestanden op afwijkingen te onderzoeken.

 

bron: security.nl