Criptomineros de Monero secuestran cientos de alojamientos web Docker sin actualizar

15 marzo, 2019
19 Compartido 2,389 Visualizaciones

Una vulnerabilidad recientemente divulgada en la plataforma de contenerización Docker está siendo explotada activamente por ciberdelincuentes para minar la criptomoneda Monero (XMR) en cientos de servidores.

La empresa de seguridad Imperva usó Shodan para encontrar puertos abiertos ejecutando Docker, encontrando 3.822 en los que la API de la plataforma estaba expuesta públicamente.

De estos, unos 400 tenía direcciones IP en los puertos 2735/2736, los puertos en escucha de la API, descubriendo que la mayoría de ellos estaban realizando labores de criptominería, con servidores de producción MySQL y Apache legítimos en menor número.

Usados para configurar los contenedores, los puertos de la API de Docker no deberían ser accesibles externamente. Combinado con CVE-2019-5736, una vulnerabilidad crítica de acceso raíz en tiempo de ejecución del contenedor por defecto, runC, podría fácilmente comprometer completamente el equipo.

Aunque la criptominería suene muy mal, los investigadores explicaron que los atacantes podrían haber realizado acciones mucho peores en los alojamientos Docker, incluyendo robar credenciales para atacar la red interna, alojar campañas de phishing y malware o crear botnets. »Las posibilidades para los atacantes tras generar contenedores en un alojamiento Docker comprometido no tienen límite» .

Sin mencionar que estos alojamientos todavía están minando activamente Monero para beneficio de los criminales. Las transacciones de Monero están ofuscadas, por lo que es casi imposible encontrar la fuente, cantidad o destino de una transacción.

¿Qué hacer?

El problema es que cientos de servidores Docker ya están infectados y otros muchos lo estarán. Obviamente, si la vulnerabilidad en runC está siendo activamente explotada, significa que los administradores no la han parcheado. Dado la seriedad del asunto, es sorprendente.

Actualizar Docker a la versión v18.09.2 o posteriores debería solucionar la vulnerabilidad aunque aún es importante que se ha implementado de forma segura en primer lugar (Imperva ha encontrado credenciales almacenadas sin seguridad como variables de entorno, por ejemplo).

El pasado junio, webs que aún utilizaban el CMS Drupal fueron comprometidas por el ataque de criptominería de Monero “Drupalgeddon 2” meses después de que la vulnerabilidad CVE-2018-7600 fuera solucionada.

Te podría interesar

Alemania propone unas normas para la seguridad de los routers
Soluciones Seguridad
18 compartido2,069 visualizaciones1
Soluciones Seguridad
18 compartido2,069 visualizaciones1

Alemania propone unas normas para la seguridad de los routers

Mónica Gallego - 18 diciembre, 2018

El gobierno alemán ha publicado un borrador inicial con reglas para la seguridad de routers domésticos y de pequeñas oficinas…

Olympic Destroyer ha vuelto y apunta a Europa
Actualidad
24 compartido1,921 visualizaciones
Actualidad
24 compartido1,921 visualizaciones

Olympic Destroyer ha vuelto y apunta a Europa

Vicente Ramírez - 21 junio, 2018

El actor de amenazas está propagando su malware a través de documentos de phishing que se parecen mucho a aquellos…

Las 5 trampas de ciberseguridad que podría sufrir una empresa
Security Breaches
634 visualizaciones
Security Breaches
634 visualizaciones

Las 5 trampas de ciberseguridad que podría sufrir una empresa

José Luis - 27 noviembre, 2017

El 75% de las PYMES, en comparación con el 35% de las grandes empresas, fueron víctimas de phishing.  Los ataques cibernéticos…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.