محققان TrendMicro بدافزار Botnetی را کشف کردهاند که از طریق APIهای Docker به کانتینرها نفوذ میکند. به استناد اخبار منتشر شده توسط Trend Micro، یک بدافزار بات نت تازه کشفشده که از پیکربندی اشتباه API در نسخه Open Source ابزار DevOps، Docker Engine-Community، استفاده میکند تا به کانتینرها نفوذ کرده و یکی از مشتقات بدافزار لینوکس AESDDos را اجرا کند.
نحوه اعمال بدافزار AESDDoS
محققان Trend Micro متوجه شده اند که APIهای Docker که بر روی هاستهای کانتینر اجرا میشوند، به هاست اجازه میدهند تا همه دستورهای مربوط به کانتینر را که توسط Deamon که با Root Permission اجرا میشود، اجرا خواهد شد را دریافت کنند.
خبرها حاکی از آن است که اجازه دسترسی خارجی، چه به صورت عمدی و چه از طریق پیکربندی اشتباه API، به مهاجمان اجازه میدهد تا مالکیت هاست را به دست آورده و آنها را قادر ساخته تا Instanceهایی که در داخل آن در حال اجرا هستند را به هدف دسترسی Remote به سرورها و منابع سختافزاری کاربر، با بدافزار آلوده کنند.
دسترسی خارجی به Portهای API، به مهاجمان اجازه میدهد تا مالکیت هاست را به دست آورده و به آنها توانایی دسترسی Remote به سرورها و منابع سختافزاری را میدهد. محققان همچنین متوجه شدند که مهاجمان از ابزاری به نام Docker Batch Test که برای شناسایی آسیبپذیری در Docker توسعه داده شدهاست، سوءاستفاده میکنند.
مقابله با بدافزار AESDDoS
برای جلوگیری از وقوع حوادث مشابه، محققان به کاربران توصیه کردند که پیکربندی API را مورد بررسی قرار داده و از اصل کمترین میزان سطح دسترسی استفاده کنند، علاوه بر آن شیوههای پیشنهادی را مورد استفاده قرار داده و از Runtime اتوماسیونشده و Image Scanning برای رسیدن به بینش بهتر در فرایندهای یک کانتینر استفاده کنند.