שרתי Docker על הכוונת
ממשקי API פתוחים בשרתי Docker ללא סיסמא מאפשרים התקנת נוזקה בשם Kinsing לכריית מטבעות קריפטו
עמי רוחקס דומבה
| 08/04/2020
צילום מסך. https://www.aquasec.com/about-us
צוות חוקרי הסייבר של חברת אקווה סקיוריטי הישראלית, המתמחה בפתרונות הגנה לסביבות חדשות דוגמת קונטיינרים ו- Serverless, חשף מתקפת סייבר חדשה על סביבות קונטיינרים, אשר נמשכת כבר מספר חודשים. על פי חוקרי החברה, רוגלה אשר סורקת את האינטרנט מאתרת פורטים של API בשרתי Docker החשופים ללא סיסמא. ברגע גילוי פירצה זו ההאקרים פורצים לתוך השרתים המארחים הלא מוגנים ומתקינים בהם נוזקה בשם Kinsing לכריית מטבעות קריפטו.
חוקרי אקווה סקיוריטי, חשפו את המתקפות בבלוג שפרסמה החברה. על פי הפרטים הנחשפים בבלוג, המתקפות החלו בשנה שעברה והן עדיין נמשכות על בסיס כמעט יומי. "מדובר בהיקפים הגדולים ביותר שראינו מזה זמן רב, הרבה מעבר למה שהכרנו עד כה. לכן אנו מאמינים כי מתקפות אלו יזומות על ידי גורמים עם די משאבים ותשתיות הדרושות לבצע כאלו מתקפות לאורך זמן והן בבירור לא התקפות מאולתרות", אומר גל זינגר, חוקר סייבר באקווה סקיוריטי.
"מתקפה זו היא אחת מתוך רשימה ארוכה של נוזקות שכיוונו לשרתי Docker, אשר לא מוגדרים כהלכה ומספקות לקבוצות האקרים גישה למשאבי מיחשוב רבים. ברגע שההאקרים מוצאים ישות Docker עם פורט API חשוף, הם משתמשים בערוץ על מנת לחדור לקונטיינר מסוג Ubuntu של Docker בו הם שותלים את הנוזקה. המטרה העיקרית של הנוזקה היא לבצע כריית מטבעות קריפטו בישות ה- Docker, אך יש לה גם מטרות נוספות כמו הרצת סקריפטים המסירים נוזקות אחרות הרצות מקומית ועלולות לפגוע במערכות ענן" .
כיוון שהמתקפות עדיין נמשכות, ממליצים מומחי אקווה סקיוריטי שחברות יבדקו את הגדרות האבטחה של שרתי ה- Docker שלהם ויוודאו בהגדרות כי אין APIs חשופים. "הגדרות נקודות קצה אמורות להיות מאחורי פיירוול או VPN Gateway – אם הן נדרשות להיות חשופות לגישה און ליין או במצב Disable אם הן ללא שימוש. מתקפה זו היא דוגמא נוספת לאיום הגובר לסביבות Cloud Native. ככל שיישום סביבות הענן וסביבות קונטיינרים הופכים נפוצים יותר והשימוש בהם גדל, ההאקרים מעלים את כמות ההתקפות ואת רף התחכום", הוסיף זינגר.
ממשקי API פתוחים בשרתי Docker ללא סיסמא מאפשרים התקנת נוזקה בשם Kinsing לכריית מטבעות קריפטו
צילום מסך. https://www.aquasec.com/about-us
צוות חוקרי הסייבר של חברת אקווה סקיוריטי הישראלית, המתמחה בפתרונות הגנה לסביבות חדשות דוגמת קונטיינרים ו- Serverless, חשף מתקפת סייבר חדשה על סביבות קונטיינרים, אשר נמשכת כבר מספר חודשים. על פי חוקרי החברה, רוגלה אשר סורקת את האינטרנט מאתרת פורטים של API בשרתי Docker החשופים ללא סיסמא. ברגע גילוי פירצה זו ההאקרים פורצים לתוך השרתים המארחים הלא מוגנים ומתקינים בהם נוזקה בשם Kinsing לכריית מטבעות קריפטו.
חוקרי אקווה סקיוריטי, חשפו את המתקפות בבלוג שפרסמה החברה. על פי הפרטים הנחשפים בבלוג, המתקפות החלו בשנה שעברה והן עדיין נמשכות על בסיס כמעט יומי. "מדובר בהיקפים הגדולים ביותר שראינו מזה זמן רב, הרבה מעבר למה שהכרנו עד כה. לכן אנו מאמינים כי מתקפות אלו יזומות על ידי גורמים עם די משאבים ותשתיות הדרושות לבצע כאלו מתקפות לאורך זמן והן בבירור לא התקפות מאולתרות", אומר גל זינגר, חוקר סייבר באקווה סקיוריטי.
"מתקפה זו היא אחת מתוך רשימה ארוכה של נוזקות שכיוונו לשרתי Docker, אשר לא מוגדרים כהלכה ומספקות לקבוצות האקרים גישה למשאבי מיחשוב רבים. ברגע שההאקרים מוצאים ישות Docker עם פורט API חשוף, הם משתמשים בערוץ על מנת לחדור לקונטיינר מסוג Ubuntu של Docker בו הם שותלים את הנוזקה. המטרה העיקרית של הנוזקה היא לבצע כריית מטבעות קריפטו בישות ה- Docker, אך יש לה גם מטרות נוספות כמו הרצת סקריפטים המסירים נוזקות אחרות הרצות מקומית ועלולות לפגוע במערכות ענן" .
כיוון שהמתקפות עדיין נמשכות, ממליצים מומחי אקווה סקיוריטי שחברות יבדקו את הגדרות האבטחה של שרתי ה- Docker שלהם ויוודאו בהגדרות כי אין APIs חשופים. "הגדרות נקודות קצה אמורות להיות מאחורי פיירוול או VPN Gateway – אם הן נדרשות להיות חשופות לגישה און ליין או במצב Disable אם הן ללא שימוש. מתקפה זו היא דוגמא נוספת לאיום הגובר לסביבות Cloud Native. ככל שיישום סביבות הענן וסביבות קונטיינרים הופכים נפוצים יותר והשימוש בהם גדל, ההאקרים מעלים את כמות ההתקפות ואת רף התחכום", הוסיף זינגר.
