เตือนผู้ใช้ Docker คอนฟิกพลาดอาจถูกโจมตีเพื่อลอบขุดเหรียญ Monero ได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Juniper Networks ออกมาแจ้งเตือนผู้ใช้ Docker Services ถ้าคอนฟิกไม่รอบคอบอาจถูกแฮ็กเกอร์โจมตีเพื่อลอบติดตั้ง Container แล้วรันสคริปต์เพื่อขุดเหรียญเงิน Monero ได้

Juniper Networks ระบุว่า ค้นพบแฮ็กเกอร์กำลังลอบขุดเหรียญเงินดิจิทัล Monero ผ่านทาง Docker Services ที่เปิดให้เข้าถึงผ่านสาธารณะ โดยแฮ็กเกอร์จะสแกนระบบอินเทอร์เน็ตเพื่อค้นหาว่ามีโฮสต์ใดเปิดพอร์ต TCP 2375 หรือ 2376 ซึ่งเป็นพอร์ตเริ่มต้นในการเข้าถึง Docker Service จากระยะไกลผ่านทาง REST Management API บ้าง เซอร์วิสดังกล่าวช่วยให้ผู้ใช้ (หรือแฮ็กเกอร์) สามารถสร้าง เริ่ม และหยุดการทำงานของ Container ได้ ที่สำคัญคือ ถ้าไม่มีการคอนฟิกใดๆ ทั้งสองพอร์ตสามารถเข้าถึงได้โดยที่ไม่ต้องมีการพิสูจน์ตัวตน และไม่มีการเข้ารหัสช่องทางสื่อสาร

หลังจากที่แฮ็กเกอร์พบเครื่องที่เปิดพอร์ตทิ้งไว้ จะทำการติดตั้ง Container ของตนลงไปบนโฮสต์นั้นๆ จากนั้นก็เปิดใช้งานและรันคำสั่งเพื่อดาวน์โหลดและรัน “auto.sh” ซึ่งเป็นสคริปต์สำหรับลอบขุดเหรียญ Monero และดำเนินปฏิบัติการอื่นๆ ต่อ นอกจากนี้ยังเช็คว่าระบบขาด Packages หรือต้องดาวน์โหลดอะไรเพิ่มบ้าง เพื่อที่จะได้แพร่กระจายไปยังโฮสต์อื่นๆ ต่อได้ จากนั้นจะทำการสแกนระบบเครือข่ายภายในและระบบอินเทอร์เน็ตต่อเพื่อหาโฮสต์ที่มีช่องโหว่แล้วแพร่กระจายตัวเองต่อไป

แนะนำให้ผู้ใช้ Docker Services ตั้งค่าการติดต่อสื่อสารผ่านพอร์ต TCP 2375 และ 2376 แบบ TLS โดยเปิดใช้ “tlsverify” Flag และนิยาม Trusted Certificate บน “tlscacert” Flag เพื่อให้เกิดการพิสูจน์ตัวตนและเข้ารหัสข้อมูลเมื่อมีการเชื่อมต่อ

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/misconfigured-docker-services-actively-exploited-in-cryptojacking-operation/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รู้จัก Zero-Touch และ One-Touch Provisioning สองสิ่งที่ทำให้ Aruba SD-Branch ติดตั้งใช้งานได้ง่าย

จุดเด่นหนึ่งของโซลูชัน SD-WAN ที่เป็นสากลนั้นก็คือความง่ายดายในการติดตั้งใช้งาน เพื่อให้การขึ้นระบบ SD-WAN ที่มักกระจายอยู่หลายสาขาในพื้นที่ที่ห่างไกลกันและกันนั้นเป็นไปได้อย่างรวดเร็ว และไม่ต้องอาศัยผู้ที่มีความรู้เชิงเทคนิคในการติดตั้งอุปกรณ์ที่แต่ละสาขา ซึ่ง Aruba SD-Branch ที่ครอบคลุมความสามารถ SD-WAN เองก็สามารถตอบโจทย์เรื่องความง่ายดายนี้ได้ด้วยสองเทคนิคที่มีชื่อว่า Zero-Touch Provisioning (ZTP) และ One-Touch Provisioning (OTP) นั่นเอง

Facebook เผยเริ่มใช้ QUIC และ HTTP/3 กับผู้ใช้งานทั่วโลกกว่า 75% แล้ว

Facebook ได้ออกมาเขียน Technical Blog ถึงการเปลี่ยนการเชื่อมต่อจากผู้ใช้งาน Facebook ให้กลายเป็น QUIC และ HTTP/3 สำเร็จไปแล้วกว่า 75% ของทราฟฟิกที่เชื่อมต่อเข้ามายัง Facebook ทั้งหมดในเวลานี้ และพบว่า QUIC สามารถช่วยให้ประสบการณ์ของผู้ใช้งานดีขึ้นได้เป็นอย่างมาก