Criptomineros de Monero secuestran cientos de alojamientos web Docker sin actualizar

15 marzo, 2019
19 Compartido 2,254 Visualizaciones

Una vulnerabilidad recientemente divulgada en la plataforma de contenerización Docker está siendo explotada activamente por ciberdelincuentes para minar la criptomoneda Monero (XMR) en cientos de servidores.

La empresa de seguridad Imperva usó Shodan para encontrar puertos abiertos ejecutando Docker, encontrando 3.822 en los que la API de la plataforma estaba expuesta públicamente.

De estos, unos 400 tenía direcciones IP en los puertos 2735/2736, los puertos en escucha de la API, descubriendo que la mayoría de ellos estaban realizando labores de criptominería, con servidores de producción MySQL y Apache legítimos en menor número.

Usados para configurar los contenedores, los puertos de la API de Docker no deberían ser accesibles externamente. Combinado con CVE-2019-5736, una vulnerabilidad crítica de acceso raíz en tiempo de ejecución del contenedor por defecto, runC, podría fácilmente comprometer completamente el equipo.

Aunque la criptominería suene muy mal, los investigadores explicaron que los atacantes podrían haber realizado acciones mucho peores en los alojamientos Docker, incluyendo robar credenciales para atacar la red interna, alojar campañas de phishing y malware o crear botnets. ”Las posibilidades para los atacantes tras generar contenedores en un alojamiento Docker comprometido no tienen límite” .

Sin mencionar que estos alojamientos todavía están minando activamente Monero para beneficio de los criminales. Las transacciones de Monero están ofuscadas, por lo que es casi imposible encontrar la fuente, cantidad o destino de una transacción.

¿Qué hacer?

El problema es que cientos de servidores Docker ya están infectados y otros muchos lo estarán. Obviamente, si la vulnerabilidad en runC está siendo activamente explotada, significa que los administradores no la han parcheado. Dado la seriedad del asunto, es sorprendente.

Actualizar Docker a la versión v18.09.2 o posteriores debería solucionar la vulnerabilidad aunque aún es importante que se ha implementado de forma segura en primer lugar (Imperva ha encontrado credenciales almacenadas sin seguridad como variables de entorno, por ejemplo).

El pasado junio, webs que aún utilizaban el CMS Drupal fueron comprometidas por el ataque de criptominería de Monero “Drupalgeddon 2” meses después de que la vulnerabilidad CVE-2018-7600 fuera solucionada.

Te podría interesar

La mayoría de las empresas tiene previsto transformarse digitalmente, pero al 84% le frenan los problemas de integración
Actualidad
12 compartido878 visualizaciones
Actualidad
12 compartido878 visualizaciones

La mayoría de las empresas tiene previsto transformarse digitalmente, pero al 84% le frenan los problemas de integración

Vicente Ramírez - 13 marzo, 2019

Según un estudio de MuleSoft, un 91% de las empresas cree que su facturación se verá perjudicada de no completar…

Demandan a Disney por supuesta monitorización de niños a través de Apps
Mobile
283 visualizaciones
Mobile
283 visualizaciones

Demandan a Disney por supuesta monitorización de niños a través de Apps

Redacción - 17 agosto, 2017

La multinacional norteamericana ha sido el objeto de la denuncia de Amanda Rushing por supuesa "monitorización de los usuarios" realizada…

DDoS: Corea del Sur y  Estados Unidos, los países con más ataques en el primer trimestre de 2017
Actualidad
265 visualizaciones
Actualidad
265 visualizaciones

DDoS: Corea del Sur y Estados Unidos, los países con más ataques en el primer trimestre de 2017

Redacción - 5 junio, 2017

Descienden los ataques DDoS en los primeros tres meses del año en comparación con el último trimestre de 2016 pero…

Deje un comentario

Su email no será publicado