Servidores Docker infectados con malware DDoS en ataques extremadamente raros


docker.png

Hasta hace poco, los servidores Docker mal configurados y expuestos en línea han sido históricamente atacados con malware de minería de criptomonedas, que ha ayudado a los grupos criminales a generar enormes ganancias al secuestrar los recursos de la nube de otra persona.

Sin embargo, en un informe publicado esta semana, investigadores de seguridad de Development Micro han descubierto lo que parece ser la primera serie organizada y persistente de ataques contra servidores Docker que infectan clusters mal configurados con malware DDoS.

Según Craze Micro, las dos botnets están ejecutando versiones de XORDDoS y las cepas de malware Kaiji. Ambas operaciones de malware tienen una historia larga y bien documentada, especialmente XORDDoS, que se ha utilizado en la naturaleza durante muchos años.

Sin embargo, las dos botnets DDoS generalmente se dirigían a enrutadores y dispositivos inteligentes, y nunca a configuraciones complejas en la nube, como los clústeres Docker.

«Se sabe que XORDDoS y Kaiji utilizan Telnet y SSH para propagarse antes, así que veo a Docker como un nuevo vector que aumenta el potencial de la botnet, un campo verde lleno de fruta fresca para recoger sin competidores inmediatos», Pascal Geenens, evangelista de ciberseguridad en Radware, dicho ZDNet por correo electrónico a principios de esta semana.

«Los contenedores Docker generalmente proporcionarán más recursos en comparación con los dispositivos IoT, pero generalmente se ejecutan en un entorno más seguro, y puede ser difícil para el contenedor realizar ataques DDoS», agregó Geenens.

«La perspectiva única de los dispositivos IoT, como los enrutadores y las cámaras IP, es que tienen acceso ilimitado a World-wide-web, pero generalmente con menos ancho de banda y menos potencia en comparación con los contenedores en un entorno comprometido», dijo el investigador de Radware ZDNet.

«Los contenedores, por otro lado, generalmente tienen acceso a muchos más recursos en términos de memoria, CPU y pink, pero los recursos de la pink pueden estar limitados a solo uno o unos pocos protocolos, lo que resulta en un arsenal más pequeño de vectores de ataque DDoS compatibles por esos &#39tremendous&#39 bots «.

Sin embargo, estas limitaciones generalmente no afectan las redes de bots de cripto-minería, que solo necesitan un canal HTTPS abierto para el mundo exterior, dijo Geenens.

Pero a pesar de las limitaciones en cómo una pandilla DDoS podría abusar de los grupos de Docker pirateados, Geenens dice que esto no impedirá que los hackers ataquen este «campo verde lleno de fruta fresca para recoger», ya que hay muy pocos dispositivos vulnerables de IoT que no hayan sido infectados. ya, lo que ha obligado a los hackers a apuntar a los servidores Docker para empezar.

Y en una nota al margen, Geenens también dijo ZDNet sospecha que los operadores DDoS ya están bastante familiarizados con los sistemas Docker.

Si bien esta es la primera vez que piratean clústeres de Docker, Geenens cree que los piratas informáticos a menudo usan Docker para administrar su propia infraestructura de ataque.

«No tengo pruebas inmediatas, pero estoy bastante seguro de que, de la misma manera que las aplicaciones legítimas se benefician de la automatización y la agilidad (DevOps) de Docker, también lo harán las aplicaciones ilegales».

La fuente más común de hacks de Docker es la interfaz de administración (API) que queda expuesta en línea sin autenticación o protegida por un firewall. Para los lectores que buscan asegurar sus servidores, eso sería una buena primera cosa para verificar.

En su informe, Craze Micro también recomienda que los administradores del servidor aseguren sus implementaciones de Docker siguiendo una serie de pasos básicos, detallados aquí.



Enlace a la noticia initial