Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Docker API狙うマルウェア「Kaiji」など見つかる

不用意にAPIが外部公開されている「Docker」サーバを狙い、感染を試みるマルウェアが観測されている。既存のコンテナが侵害されたり、不正なコンテナを設置されるおそれがある。

従来より「Docker」のAPIを狙った攻撃は観測されているが、これまでLinuxなど標的として活動してきたマルウェア「XORDDoS」や「Kaiji」なども、「Dockerサーバ」に対する感染活動を展開しはじめたという。

「XORDDoS」は、感染端末をボット化し、DDoS攻撃を展開するマルウェアで、従来Linuxを標的対象としてきたが、Trend Microによれば、今回確認された亜種は、「Docker」のAPIで利用する2375番ポートを検索し、感染活動を展開していた。

同マルウェアが2375番ポートが開放されたサーバを発見すると、コンテナの一覧を取得。各コンテナに対してコマンドを実行して感染を試みる。同社が同マルウェアの攻撃者に関連するURLを調査したところ、「Docker API」を標的とする別のマルウェア「Dofloo/AESDDoS」の亜種も確認されたという。

一方、telnetを利用し、ブルートフォース攻撃でIoT機器を中心に感染を広げる「Kaiji」の亜種についても、同じく2375番ポートが開放された「Docker」サーバを検索していた。「XORDDoS」と異なり、既存のコンテナを侵害するのではなく、マルウェアを含むあらたなコンテナを稼働させるという。

同社は、「Docker」の人気が集まる一方、攻撃者の標的にもなっていると指摘。ネットワークやコンテナを適切に保護する必要があると指摘している。

(Security NEXT - 2020/08/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

OSSのシステム監視ツール「Pandora FMS」に深刻な脆弱性
セキュリティ管理製品に新版、クラウド対応を強化 - カスペ
「Docker Compose」と「Remote API」を接続するOSSに脆弱性
脆弱な「Docker」の探索行為、11月ごろより増加
「Docker」の既知脆弱性にPoC - 影響大きく更新状態の確認を
MS、月例パッチで脆弱性77件を修正 - 一部でゼロデイ攻撃も
トレンド、サーバ向け製品の新版 - コンテナ間の攻撃検知に対応
コンテナランタイム「runc」の脆弱性、実証コードが複数公開 - 早期対策を
「runc」に脆弱性、コンテナからホスト管理者権限でコード実行されるおそれ
「Docker」設定ミス狙う攻撃に注意 - マルウェア感染のおそれ