Docker jest pełen złośliwego oprogramowania
Docker to otwarta platforma do tworzenia, dostarczania i uruchamiania aplikacji. Docker umożliwia deweloperom oddzielanie aplikacji od infrastruktury w celu szybkiego dostarczania oprogramowania. Dzięki Dockerowi programiści mogą zarządzać infrastrukturą w taki sam sposób, w jaki zarządzają aplikacjami. Deweloperzy mogą używać platformy Docker do szybkiego dostarczania, testowania i wdrażania kodu. To znacznie skraca czas między napisaniem kodu a faktycznym wdrożeniem kodu w środowisku produkcyjnym.
Duże zmiany zaszły w dziedzinie złośliwego oprogramowania pod koniec 2017 r. Wraz z popularnością technologii opartej na chmurze niektóre internetowe grupy przestępcze zaczęły również atakować systemy DOCKER i Kubernetes. Większość z tych ataków przebiega według bardzo prostego schematu, w którym cyberprzestępca skanuje źle skonfigurowany system. I udostępnij interfejsy zarządzania tych systemów w Internecie. I przejmij serwery od razu i zainstaluj złośliwe oprogramowanie do kopania kryptowalut. Ataki te nasiliły się w ciągu ostatnich trzech lat. Wraz z pojawianiem się nowych rodzajów złośliwego oprogramowania i ataków na platformę Docker jeden po drugim.
W dzisiejszych czasach ataki złośliwego oprogramowania na serwery Docker stały się powszechne. Jednak wielu twórców stron internetowych i inżynierów infrastruktury nie wyciągnęło jeszcze wniosków. Nadal błędnie konfigurują serwery Docker, aby narazić je na ataki. Udostępnianie punktów końcowych interfejsu API zdalnego zarządzania platformy Docker w Internecie bez uwierzytelniania. To jedno z najczęstszych zaniedbań.
W ciągu ostatnich kilku lat serwery Docker były skanowane przez Doki, Ngrok, Kinsing, XORDDOS, AESDDOS, Team TNT i inne złośliwe oprogramowanie. Udostępnij interfejs API do zarządzania platformą Docker w Internecie. I nadużywaj go do wdrażania złośliwych obrazów systemu operacyjnego, zakładania tylnych drzwi lub instalowania koparek kryptowalut.
Najnowsza odmiana złośliwego oprogramowania znana jest jako Blackrota. Wykryto złośliwy program typu backdoor napisany w języku Go. Wykorzystywana jest luka w zabezpieczeniach nieautoryzowanego dostępu w Docker Remote API. Nazwany Blackrota, ponieważ nazwa domeny C2 to Blackrota. ga.
Obecnie backdoor Blackrota jest dostępny tylko dla Linuksa. I nie jest jasne, w jaki sposób jest używany. Naukowcy nie wiedzą również, czy istnieje wersja dla systemu Windows. Niezależnie od tego, czy jest używany do wydobywania kryptowalut, czy też do uruchamiania botnetów DDoS na potężnych serwerach w chmurze.
Lekcja z Blackrota i poprzednich ataków jest taka, że Docker nie jest już technologią marginalną. I niemal codziennie jest przedmiotem masowych, ukierunkowanych ataków. Dlatego sugeruj, aby programiści i inżynierowie korzystający z systemów Docker w systemach produkcyjnych dokładnie zapoznali się z oficjalnymi dokumentami Dockera. I upewnij się, że funkcje zdalnego zarządzania Dockera są chronione za pomocą odpowiedniego mechanizmu uwierzytelniania.
Jednym słowem, Docker odgrywa coraz większą rolę w nowoczesnych ustawieniach infrastruktury i rośnie liczba ataków. Z miesiąca na miesiąc rośnie również liczba szczepów złośliwego oprogramowania atakujących system Docker. Nadszedł czas, aby programiści poważnie podeszli do bezpieczeństwa platformy Docker.