【劫持风险】数百个暴露在公网的Docker主机恐遭劫持

近期，安全专家在外网发现了数百台被黑客攻击的Docker服务器。这些服务器在2月份受到了cve-2019-5736 runc漏洞的攻击。

这个漏洞是由安全研究人员Adam Iwaniuk和Borys Popławski发现的，SuSE Linux GmbH的高级软件工程师Aleksa Sarai披露了漏洞的详细信息，主要影响了runc这个工具，而这个工具主要是Docker等容器的运行引擎。

这类工具的漏洞可能会对IT环境产生重大影响，造成容器逃逸，影响整个容器主机，最终危及运行在服务器上其他容器。

同时，这一漏洞也会影响全球范围内流行的云产品，包括AWS、谷歌云和几个Linux发行版系统。

容器逃逸的PoC利用代码已在GitHub上发布，要执行必须需要root权限。

Github上的PoC说明写道：“这是用Go语言编写的CVE-2019-5736漏洞的PoC，这是一个Docker容器逃逸漏洞。主要原理从容器覆盖并执行宿主机上runc二进制文件。”

“攻击者需要能在容器内执行命令，并启动一个恶意监控软件。当有人（攻击者或受害者）使用Docker Exec进入容器时，就会以root身份执行攻击，非法覆盖文件，执行恶意命令。”

虽然这个漏洞以披露近一个月，但不幸的是，仍然有数千个暴露在公网的Docker主机没有打补丁。

该漏洞于2月11日披露，当时公网大约有3951个Docker实例。现在，来自Imperva的安全专家Vitaly Simonovich和Ori Nakar发现了大约4042个暴露在公网的Docker实例。

撰写本文时，shodan共发现公网上3860个Docker的2375端口，其中74个端口可以访问。安全专家指出，只有100个守护进程被更新到18.09.2或更新版本，其余的实例仍然容易受到攻击。

安全专家还发现，这些暴露在公网的未补丁服务器可利用回环接口（“localhost”，“127.0.0.1”）来访问Docker API。

“我们发现3822台Docker主机开启了远程API。”Imperva发布的分析显示。

“我们想看看这些IP中有多少是真正可利用的。最终，我们发现大约有400个IP可以访问。”

研究人员还从Docker的镜像中发现了挖矿软件，看上去像合法的服务。

“我们发现大多数可远程访问API的Docker都在运行一个名为Monero的加密货币挖矿软件。门罗币的交易是难以追踪的，可用于各种非法交易。”

“其他Docker主机运行的基本都是MySQL数据库、Apache Tomcat等生产环境。”

专家指出，攻击者利用这个漏洞可创建僵尸网络，偷取用户凭证等。

 

来源：https://securityaffairs.co/wordpress/81981/hacking/docker-hosts-cryptojacking-campaigns.html