Siber suçlular, bulut tabanlı birçok şirket tarafından kullanılan konteyner altyapısının yazılım temeli olan Docker Engine’e yönelik saldırılarını artırıyor. Araştırmacılar, bu hafta, Rus hedeflerine yönelik hizmet reddi (DoS) saldırılarını başlatmayı amaçlayan bir uzlaşma da dahil olmak üzere artan riski gösteren bir çift siber kampanyayı işaretlediler.
5 Mayıs’ta bulut yönetim platformu Uptycs’teki araştırmacılar, saldırganların, uzak Docker API üzerinden bağlantılara izin verecek şekilde yapılandırılmış bir Docker sunucusu olan firmanın balküpünü tehlikeye attığını söyledi. Saldırılar, siber suçluların kripto madenciliği yazılımı kurmasına ve sunucuyu gerçek zamanlı olarak keşfetmelerine izin verecek bir ters kabuk oluşturmasına neden oldu.
Uptycs’te tehdit araştırması direktörü Amit Malik, şirketin bal küpü sunucusunu tehlikeye atmak için her gün 10 ila 20 girişim tespit ettiğini ve bu da saldırganların Docker tabanlı altyapıya olan ilgilerini artırdığını gösteriyor.
Malik, “Makinelerimizden birini bal küpü olarak yapılandırdık ve üç saat içinde güvenliğinin ihlal edildiğini gördük, bu yüzden onu kapatıp yeniden inşa etmek zorunda kaldık” diyor. “Enfeksiyon noktası çok hızlı.”
saldırılar Uptycs’in Docker tabanlı altyapısı benzersiz değil. Olaylar başka şirketlerde de yaşanıyor.
Habersiz Ev Sahipleri Rusya’ya Karşı DoS Etkinliğine Düşman
Siber güvenlik hizmetleri firması CrowdStrike tarafından yönetilen bal küpleri, genellikle 2375 veya 2376 numaralı bağlantı noktasına atanan Docker uzak API’si aracılığıyla benzer saldırılar yaşadı. 4 Mayıs’ta yayınlanan bir saldırının analizi.
CrowdStrike araştırmacıları, saldırganların açık Docker API aracılığıyla bal küplerini tehlikeye attığını ve ardından Rus ve Belarus sitelerine saldırmak için kullanılan iki kötü amaçlı kapsayıcı görüntüsü yüklediğini ortaya çıkardı.
CrowdStrike’a göre hedef listeler, Rus ve Belarus hükümetlerinin, askeri, medya ve perakende sektörlerinin yanı sıra Rus madencilik, imalat, kimya ve teknoloji sektörlerinin web sitelerini içeriyor.
DoS’u etkinleştiren her iki kapsayıcı da Docker Hub’da barındırılır. Görüntülerden biri 100.000’den fazla kez indirildi; ikincisi 50.000 indirildi. CrowdStrike araştırmacıları, bu indirmelerin güvenliği ihlal edilmiş makinelerden gelen kısmının bilinmediğini kaydetti.
Firma, güvenliği ihlal edilmiş altyapı kullanımının, farkında olmadan Rus hükümeti, askeri ve sivil hedeflere karşı düşmanca faaliyetlere katılabilecek kuruluşlar için geniş kapsamlı sonuçları olduğu konusunda uyardı. CrowdStrike istihbarat başkan yardımcısı Adam Meyers, Rus istihbaratının saldırısına ilişkin herhangi bir soruşturmanın muhtemelen kurbanın sunucusuna işaret edeceğini söylüyor.
“Altyapınızı üçüncü bir tarafa saldırmak için kullandıklarında durum biraz farklı” diyor. “Eğer [Russia or Belarus] bu saldırılara bakmaya başlayınca, ‘Oh, onlar bizi DoS’luyorlar, biz de onları DoS yapacağız’ diyebilirler.”
Güvenliğin Docker Tehditlerine Odaklanması Gerekiyor
Meyers, Docker’ın geliştirme ve DevOps topluluklarında iyi bilinmesine rağmen, güvenlik profesyonellerinin güvenli olmayan yapılandırmalar veya güvenlik açıklarının kurumsal güvenliği baltalama potansiyelinin farkında olmayabilirler, diyor Meyers.
Saldırı yüzeyi şunlarla ilgilidir: Aralık ayında, güvenlik girişimi Prevasio, Docker Hub’da taradıkları 4 milyon görüntünün %51’inin kritik bir güvenlik açığına sahip paketler içerdiğini buldu. Yanlış yapılandırma cephesinde, uzak Docker API’sini açığa çıkarmak yaygın bir yapılandırma olmasa da – şu anda Shodan, 2375 numaralı bağlantı noktasını açığa çıkaran 803 varlık sayıyor – bağlantı noktasının nispeten sık taranması, herhangi bir yanlış yapılandırmadan hızla yararlanılacağı anlamına geliyor.
Meyers, “Bu nispeten yeni bir teknoloji ve her yeni teknolojide bununla birlikte giden bir güvenlik eğrisi var” diyor. “Tehdit konusunda genel bir farkındalık eksikliği var ve burada bayrağı yükseltmeye çalıştığımız şey de bu. Docker güvenliğini ciddiye almanız gerekiyor.”
Docker’da Daha Fazla Görünürlük Gerekiyor
Uptycs araştırmacısı Siddharth Sharma, risk düzeylerini anlamak için işletmelerin Docker, Kubernetes sunucuları ve DevOps ile ilgili altyapı gibi varlıkların saldırı yüzey alanını yeterince izleyebildiklerinden emin olmaları gerektiğini söylüyor.
“Bu saldırıların çoğu fark edilmiyor çünkü insanlar Docker altyapılarını izleyen kapsamlı bir güvenlik çözümüne sahip olmayabilir” diyor. “Dolayısıyla, bir şeyler ters gitmediği sürece saldırgan çok sık tespit edilmeyecektir. [payloads] yükledikleri açık değil.”
Geçen yıl Docker, Docker Desktop’ın lisans koşullarını değiştirerek bir abonelik modeline geçti ve bu değişikliğin şirketin daha fazla güvenlik özelliğini ve denetimi desteklemesine yardımcı olacağını savundu. Hareket, şirketin bölünmesinden iki yıl sonra geldi ve Docker – Docker Hub ve Docker Desktop ile geliştirmeye odaklanan – ve Docker Enterprise’ın Mirantis’e satılan kurumsal altyapı bileşenleri olarak bölündü.