Mange brukere av konteinerprogramvaren Docker har sikret serverne denne kjøres på så dårlig at de er eksponert for alle på internett, uten noen form for autentisering eller autorisasjon. Dette kan gjøre det mulig for uvedkommende å ta full kontroll over Docker Engine-programvaren på verten.
Sikkerhetsforskere i Unit 42-avdelingen til Palo Alto Networks forteller nå at de har oppdaget en orm, som utnytter den fraværende sikkerheten til å sette i gang utvinning av kryptovalutaen monero på mer enn 2.000 Docker-verter. Disse skal være mulige å søke opp via Shodan-tjenesten.
Filmskapning
Ormen kalles for Graboid, oppkalt etter en ormlignende skapning i film- og tv-seriene Tremors. Når ormen har infisert en konteiner, kjøres den 63 prosent av tiden. Utvinningsperiodene varer i 250 sekunder om gangen.
Den innledende delen av infiseringen har foregått ved at en angriper har fått tilgang til en usikker Docker Engine-installasjon, for deretter å laste ned og kjøre en ondsinnet dockeravbildning (pocosow/centos:7.6.1810, gakeaws/nginx eller gakeaws/mysql) fra Docker Hub. Deretter har skadevaren kontaktet en kommando- og kontrollserver for å laste ned blant annet instruksjoner og en liste over andre sårbare verter.
Disse skal til sammen ha blitt lastet ned mer enn 16.500 ganger før de nylig ble fjernet fra Docker Hub av Docker-teamet.
Pussig adferd
Kryptovalutautvinningen startes ikke umiddelbart etter infiseringen. I stedet startes og stoppes utvinningsprosessen nokså vilkårlig på de andre vertene som Graboid har infisert. Det er ifølge Unit 42 uklart hva som er den egentlige hensikten med dette.
Unit 42 anser ikke Graboid-ormen som særlig sofistikert i dagens utgave, men advarer om at den kan laste ned nye skriptfiler fra kommando- og kontrollservere. Disse kan gi ormen nye egenskaper, noe som potensielt kan gjøre den betydelig mer skadelig.
I blogginnlegget om Graboid kommer sikkerhetsforskerne med en del råd som kan bidra til å forhindre infiseringen. Det viktigste er at ingen Docker-daemon må være eksponert mot internett uten skikkelig autentisering. Med standardinnstillingene er Docker Engine ikke eksponert mot internett.