KONTEINERTEKNOLOGI

Kryptokaprende orm spres mellom dårlig sikrede Docker-verter

Har potensial til å gjøre langt mer skade.

Kryptoormen Graboid infiserer usikre Docker-verter.
Kryptoormen Graboid infiserer usikre Docker-verter. Illustrasjon: Unit 42
Harald BrombachHarald BrombachNyhetsleder
18. okt. 2019 - 06:00

Mange brukere av konteinerprogramvaren Docker har sikret serverne denne kjøres på så dårlig at de er eksponert for alle på internett, uten noen form for autentisering eller autorisasjon. Dette kan gjøre det mulig for uvedkommende å ta full kontroll over Docker Engine-programvaren på verten.

Sikkerhetsforskere i Unit 42-avdelingen til Palo Alto Networks forteller nå at de har oppdaget en orm, som utnytter den fraværende sikkerheten til å sette i gang utvinning av kryptovalutaen monero på mer enn 2.000 Docker-verter. Disse skal være mulige å søke opp via Shodan-tjenesten. 

Filmskapning

Ormen kalles for Graboid, oppkalt etter en ormlignende skapning i film- og tv-seriene Tremors. Når ormen har infisert en konteiner, kjøres den 63 prosent av tiden. Utvinningsperiodene varer i 250 sekunder om gangen. 

Illustrasjon av det nye datasenteret til Google Norge i Skien. Norske myndigheter bør satse på fysisk digital infrastruktur i stedet for tjenester, skriver Jon Gravråk.
Les også

Glem den neste killer-appen. Norges mulighet er infrastruktur

Den innledende delen av infiseringen har foregått ved at en angriper har fått tilgang til en usikker Docker Engine-installasjon, for deretter å laste ned og kjøre en ondsinnet dockeravbildning (pocosow/centos:7.6.1810, gakeaws/nginx eller gakeaws/mysql) fra Docker Hub. Deretter har skadevaren kontaktet en kommando- og kontrollserver for å laste ned blant annet instruksjoner og en liste over andre sårbare verter. 

Disse skal til sammen ha blitt lastet ned mer enn 16.500 ganger før de nylig ble fjernet fra Docker Hub av Docker-teamet.

Pussig adferd

Kryptovalutautvinningen startes ikke umiddelbart etter infiseringen. I stedet startes og stoppes utvinningsprosessen nokså vilkårlig på de andre vertene som Graboid har infisert. Det er ifølge Unit 42 uklart hva som er den egentlige hensikten med dette. 

Unit 42 anser ikke Graboid-ormen som særlig sofistikert i dagens utgave, men advarer om at den kan laste ned nye skriptfiler fra kommando- og kontrollservere. Disse kan gi ormen nye egenskaper, noe som potensielt kan gjøre den betydelig mer skadelig. 

I blogginnlegget om Graboid kommer sikkerhetsforskerne med en del råd som kan bidra til å forhindre infiseringen. Det viktigste er at ingen Docker-daemon må være eksponert mot internett uten skikkelig autentisering. Med standardinnstillingene er Docker Engine ikke eksponert mot internett.

Med Global Signal Exchange (GSE) skal Google og partnere bekjempe nettsvindel.
Les også

Google-initiativ skal bekjempe nettsvindel

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra