Abonner
KONTEINERTEKNOLOGI

Kryptokaprende orm spres mellom dårlig sikrede Docker-verter

Har potensial til å gjøre langt mer skade.

Kryptoormen Graboid infiserer usikre Docker-verter.
Kryptoormen Graboid infiserer usikre Docker-verter. Illustrasjon: Unit 42
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
18. okt. 2019 - 06:00

Mange brukere av konteinerprogramvaren Docker har sikret serverne denne kjøres på så dårlig at de er eksponert for alle på internett, uten noen form for autentisering eller autorisasjon. Dette kan gjøre det mulig for uvedkommende å ta full kontroll over Docker Engine-programvaren på verten.

Sikkerhetsforskere i Unit 42-avdelingen til Palo Alto Networks forteller nå at de har oppdaget en orm, som utnytter den fraværende sikkerheten til å sette i gang utvinning av kryptovalutaen monero på mer enn 2.000 Docker-verter. Disse skal være mulige å søke opp via Shodan-tjenesten. 

Filmskapning

Ormen kalles for Graboid, oppkalt etter en ormlignende skapning i film- og tv-seriene Tremors. Når ormen har infisert en konteiner, kjøres den 63 prosent av tiden. Utvinningsperiodene varer i 250 sekunder om gangen. 

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Investerer milliarder i bedre møteopplevelse
View of Approved email and spam message displayed on a futuristic interface - Message and internet concept
Les også

Chat GPT effektiviserer svindlernes arbeid

Den innledende delen av infiseringen har foregått ved at en angriper har fått tilgang til en usikker Docker Engine-installasjon, for deretter å laste ned og kjøre en ondsinnet dockeravbildning (pocosow/centos:7.6.1810, gakeaws/nginx eller gakeaws/mysql) fra Docker Hub. Deretter har skadevaren kontaktet en kommando- og kontrollserver for å laste ned blant annet instruksjoner og en liste over andre sårbare verter. 

Disse skal til sammen ha blitt lastet ned mer enn 16.500 ganger før de nylig ble fjernet fra Docker Hub av Docker-teamet.

Pussig adferd

Kryptovalutautvinningen startes ikke umiddelbart etter infiseringen. I stedet startes og stoppes utvinningsprosessen nokså vilkårlig på de andre vertene som Graboid har infisert. Det er ifølge Unit 42 uklart hva som er den egentlige hensikten med dette. 

Unit 42 anser ikke Graboid-ormen som særlig sofistikert i dagens utgave, men advarer om at den kan laste ned nye skriptfiler fra kommando- og kontrollservere. Disse kan gi ormen nye egenskaper, noe som potensielt kan gjøre den betydelig mer skadelig. 

I blogginnlegget om Graboid kommer sikkerhetsforskerne med en del råd som kan bidra til å forhindre infiseringen. Det viktigste er at ingen Docker-daemon må være eksponert mot internett uten skikkelig autentisering. Med standardinnstillingene er Docker Engine ikke eksponert mot internett.

Generert skisse over Campus N01 med det nye anlegget til høyre i bildet.
Les også

Nytt milliard-anlegg skal fylles med GPU-er

Les mer om:
DOCKERKONTEINERTEKNOLOGISIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra