Хакер #305. Многошаговые SQL-инъекции
Эксперты компании Imperva предупреждают, что сотни Docker-хостов уязвимы перед проблемой CVE-2019-5736, обнаруженной в прошлом месяце. Хуже того, уязвимость уже используют для добычи криптовалюты.
Напомню, что уязвимость CVE-2019-5736 была найдена в инструменте для запуска контейнеров runC. Баг позволяет вредоносному контейнеру перезаписать исполняемый файл runC на хост-системе, при этом взаимодействие с пользователем требуется минимальное. Таким образом атакующий может получить root-доступ к хосту и возможность исполнять произвольный код.
Хотя патчи для этой проблемы практически сразу опубликовали все крупные производители и разработчики, тогда же в открытом доступе появился и PoC-эксплоит.
Теперь аналитики Imperva воспользовались поисковиком Shodan и подсчитали, что в онлайне в настоящее время можно обнаружить порядка 4000 Docker-хостов, причем у 3968 из них обнаружился открытый порт 2375, а еще у 74 нашли доступный порт 2376. Именно эти порты используются API для установки удаленных соединений.
Хуже того, по данным исследователей, лишь в 103 случаях Docker оказался обновлен до безопасной версии 18.09.2 или новее, то есть остальные 3939 оказались под угрозой атак.
Получив столь тревожные цифры, специалисты решили убедиться в правильности своих выводов и проверили, действительно ли найденные через Shodan IP доступны по 2735 порту. Протестировав 3822 IP-адреса, эксперты обнаружили, что 400 из них в самом деле доступны и уязвимы. Более того, экспертов уже опередили преступники: на многих непропатченных серверах обнаружились образы с майнерами, добывающими криптовалюту Monero.
В заключении эксперты еще раз призывают всех устанавливать патчи своевременно и напоминают, что подобные уязвимости могут использовать не только для майнинга, но и для создания ботнетов, размещения фишинговых кампаний, кражи учетных данных и информации, последующих атак на внутренние сети и многого другого.