Criptomineros de Monero secuestran cientos de alojamientos web Docker sin actualizar

15 marzo, 2019
19 Compartido 2,324 Visualizaciones

Una vulnerabilidad recientemente divulgada en la plataforma de contenerización Docker está siendo explotada activamente por ciberdelincuentes para minar la criptomoneda Monero (XMR) en cientos de servidores.

La empresa de seguridad Imperva usó Shodan para encontrar puertos abiertos ejecutando Docker, encontrando 3.822 en los que la API de la plataforma estaba expuesta públicamente.

De estos, unos 400 tenía direcciones IP en los puertos 2735/2736, los puertos en escucha de la API, descubriendo que la mayoría de ellos estaban realizando labores de criptominería, con servidores de producción MySQL y Apache legítimos en menor número.

Usados para configurar los contenedores, los puertos de la API de Docker no deberían ser accesibles externamente. Combinado con CVE-2019-5736, una vulnerabilidad crítica de acceso raíz en tiempo de ejecución del contenedor por defecto, runC, podría fácilmente comprometer completamente el equipo.

Aunque la criptominería suene muy mal, los investigadores explicaron que los atacantes podrían haber realizado acciones mucho peores en los alojamientos Docker, incluyendo robar credenciales para atacar la red interna, alojar campañas de phishing y malware o crear botnets. »Las posibilidades para los atacantes tras generar contenedores en un alojamiento Docker comprometido no tienen límite» .

Sin mencionar que estos alojamientos todavía están minando activamente Monero para beneficio de los criminales. Las transacciones de Monero están ofuscadas, por lo que es casi imposible encontrar la fuente, cantidad o destino de una transacción.

¿Qué hacer?

El problema es que cientos de servidores Docker ya están infectados y otros muchos lo estarán. Obviamente, si la vulnerabilidad en runC está siendo activamente explotada, significa que los administradores no la han parcheado. Dado la seriedad del asunto, es sorprendente.

Actualizar Docker a la versión v18.09.2 o posteriores debería solucionar la vulnerabilidad aunque aún es importante que se ha implementado de forma segura en primer lugar (Imperva ha encontrado credenciales almacenadas sin seguridad como variables de entorno, por ejemplo).

El pasado junio, webs que aún utilizaban el CMS Drupal fueron comprometidas por el ataque de criptominería de Monero “Drupalgeddon 2” meses después de que la vulnerabilidad CVE-2018-7600 fuera solucionada.

Te podría interesar

La ciberseguridad ante la llegada del GDPR: ¿Qué retos se avecinan?
Actualidad
25 compartido1,864 visualizaciones
Actualidad
25 compartido1,864 visualizaciones

La ciberseguridad ante la llegada del GDPR: ¿Qué retos se avecinan?

Vicente Ramírez - 2 mayo, 2018

ISMS Forum Spain organiza, un año más, el congreso privado nacional de referencia para los sectores de la ciberseguridad y…

Google ya no confía en la voz para desbloquear sus dispositivos
Actualidad
17 compartido2,275 visualizaciones
Actualidad
17 compartido2,275 visualizaciones

Google ya no confía en la voz para desbloquear sus dispositivos

Mónica Gallego - 8 noviembre, 2018

En la carrera por poner fin a las contraseñas, los fabricantes de dispositivos han intentando una gran variedad de alternativas,…

Servicios que se ofrecen en la dark web
Ciberespionaje
18 compartido2,263 visualizaciones1
Ciberespionaje
18 compartido2,263 visualizaciones1

Servicios que se ofrecen en la dark web

Mónica Gallego - 23 enero, 2019

Sabemos que el cibercrimen como servicio no es una novedad. Los criminales ofrecen sus productos o infraestructura en el mercado negro a…

Deje un comentario

Su email no será publicado