CDIC 2023

เตือนผู้ใช้ Docker คอนฟิกพลาดอาจถูกโจมตีเพื่อลอบขุดเหรียญ Monero ได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Juniper Networks ออกมาแจ้งเตือนผู้ใช้ Docker Services ถ้าคอนฟิกไม่รอบคอบอาจถูกแฮ็กเกอร์โจมตีเพื่อลอบติดตั้ง Container แล้วรันสคริปต์เพื่อขุดเหรียญเงิน Monero ได้

Juniper Networks ระบุว่า ค้นพบแฮ็กเกอร์กำลังลอบขุดเหรียญเงินดิจิทัล Monero ผ่านทาง Docker Services ที่เปิดให้เข้าถึงผ่านสาธารณะ โดยแฮ็กเกอร์จะสแกนระบบอินเทอร์เน็ตเพื่อค้นหาว่ามีโฮสต์ใดเปิดพอร์ต TCP 2375 หรือ 2376 ซึ่งเป็นพอร์ตเริ่มต้นในการเข้าถึง Docker Service จากระยะไกลผ่านทาง REST Management API บ้าง เซอร์วิสดังกล่าวช่วยให้ผู้ใช้ (หรือแฮ็กเกอร์) สามารถสร้าง เริ่ม และหยุดการทำงานของ Container ได้ ที่สำคัญคือ ถ้าไม่มีการคอนฟิกใดๆ ทั้งสองพอร์ตสามารถเข้าถึงได้โดยที่ไม่ต้องมีการพิสูจน์ตัวตน และไม่มีการเข้ารหัสช่องทางสื่อสาร

หลังจากที่แฮ็กเกอร์พบเครื่องที่เปิดพอร์ตทิ้งไว้ จะทำการติดตั้ง Container ของตนลงไปบนโฮสต์นั้นๆ จากนั้นก็เปิดใช้งานและรันคำสั่งเพื่อดาวน์โหลดและรัน “auto.sh” ซึ่งเป็นสคริปต์สำหรับลอบขุดเหรียญ Monero และดำเนินปฏิบัติการอื่นๆ ต่อ นอกจากนี้ยังเช็คว่าระบบขาด Packages หรือต้องดาวน์โหลดอะไรเพิ่มบ้าง เพื่อที่จะได้แพร่กระจายไปยังโฮสต์อื่นๆ ต่อได้ จากนั้นจะทำการสแกนระบบเครือข่ายภายในและระบบอินเทอร์เน็ตต่อเพื่อหาโฮสต์ที่มีช่องโหว่แล้วแพร่กระจายตัวเองต่อไป

แนะนำให้ผู้ใช้ Docker Services ตั้งค่าการติดต่อสื่อสารผ่านพอร์ต TCP 2375 และ 2376 แบบ TLS โดยเปิดใช้ “tlsverify” Flag และนิยาม Trusted Certificate บน “tlscacert” Flag เพื่อให้เกิดการพิสูจน์ตัวตนและเข้ารหัสข้อมูลเมื่อมีการเชื่อมต่อ

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/misconfigured-docker-services-actively-exploited-in-cryptojacking-operation/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cloudflare เปิดตัวชุด AI Platform ช่วยให้องค์กรสามารถสร้างและใช้งาน AI ได้อย่างรวดเร็ว

Cloudflare เปิดตัวชุด AI Platform ใหม่ ที่ออกแบบมาสำหรับนักพัฒนาในองค์กรเพื่อสร้าง AI Application ให้เริ่มต้นใช้งานได้อย่างรวดเร็ว นอกจากนี้ยังรองรับการขยายขนาดได้ผ่านการใช้งาน Cloudflare Network โดยโซลูชันแบ่งออกเป็น 3 ส่วน …

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้

Google Chrome ออกแพตช์ Zero-day ใหม่ นับเป็นตัวที่ 5 ของปีนี้