Una vulnerabilidad recientemente divulgada en la plataforma de contenerización Docker está siendo explotada activamente por ciberdelincuentes para minar la criptomoneda Monero (XMR) en cientos de servidores.
La empresa de seguridad Imperva usó Shodan para encontrar puertos abiertos ejecutando Docker, encontrando 3.822 en los que la API de la plataforma estaba expuesta públicamente.
De estos, unos 400 tenía direcciones IP en los puertos 2735/2736, los puertos en escucha de la API, descubriendo que la mayoría de ellos estaban realizando labores de criptominería, con servidores de producción MySQL y Apache legítimos en menor número.
Usados para configurar los contenedores, los puertos de la API de Docker no deberían ser accesibles externamente. Combinado con CVE-2019-5736, una vulnerabilidad crítica de acceso raíz en tiempo de ejecución del contenedor por defecto, runC, podría fácilmente comprometer completamente el equipo.
Aunque la criptominería suene muy mal, los investigadores explicaron que los atacantes podrían haber realizado acciones mucho peores en los alojamientos Docker, incluyendo robar credenciales para atacar la red interna, alojar campañas de phishing y malware o crear botnets. »Las posibilidades para los atacantes tras generar contenedores en un alojamiento Docker comprometido no tienen límite» .
Sin mencionar que estos alojamientos todavía están minando activamente Monero para beneficio de los criminales. Las transacciones de Monero están ofuscadas, por lo que es casi imposible encontrar la fuente, cantidad o destino de una transacción.
¿Qué hacer?
El problema es que cientos de servidores Docker ya están infectados y otros muchos lo estarán. Obviamente, si la vulnerabilidad en runC está siendo activamente explotada, significa que los administradores no la han parcheado. Dado la seriedad del asunto, es sorprendente.
Actualizar Docker a la versión v18.09.2 o posteriores debería solucionar la vulnerabilidad aunque aún es importante que se ha implementado de forma segura en primer lugar (Imperva ha encontrado credenciales almacenadas sin seguridad como variables de entorno, por ejemplo).
El pasado junio, webs que aún utilizaban el CMS Drupal fueron comprometidas por el ataque de criptominería de Monero “Drupalgeddon 2” meses después de que la vulnerabilidad CVE-2018-7600 fuera solucionada.
