Docker API狙うマルウェア「Kaiji」など見つかる

不用意にAPIが外部公開されている「Docker」サーバを狙い、感染を試みるマルウェアが観測されている。既存のコンテナが侵害されたり、不正なコンテナを設置されるおそれがある。

従来より「Docker」のAPIを狙った攻撃は観測されているが、これまでLinuxなど標的として活動してきたマルウェア「XORDDoS」や「Kaiji」なども、「Dockerサーバ」に対する感染活動を展開しはじめたという。

「XORDDoS」は、感染端末をボット化し、DDoS攻撃を展開するマルウェアで、従来Linuxを標的対象としてきたが、Trend Microによれば、今回確認された亜種は、「Docker」のAPIで利用する2375番ポートを検索し、感染活動を展開していた。

同マルウェアが2375番ポートが開放されたサーバを発見すると、コンテナの一覧を取得。各コンテナに対してコマンドを実行して感染を試みる。同社が同マルウェアの攻撃者に関連するURLを調査したところ、「Docker API」を標的とする別のマルウェア「Dofloo/AESDDoS」の亜種も確認されたという。

一方、telnetを利用し、ブルートフォース攻撃でIoT機器を中心に感染を広げる「Kaiji」の亜種についても、同じく2375番ポートが開放された「Docker」サーバを検索していた。「XORDDoS」と異なり、既存のコンテナを侵害するのではなく、マルウェアを含むあらたなコンテナを稼働させるという。

同社は、「Docker」の人気が集まる一方、攻撃者の標的にもなっていると指摘。ネットワークやコンテナを適切に保護する必要があると指摘している。

（Security NEXT - 2020/08/28 ） ツイート

PR

関連記事

日立のディスクアレイ用ソフトに深刻な脆弱性 - アップデートをリリース
Intelの24製品に「Apache Log4j」 - 23製品でパッチ提供済み
開発環境狙うサプライチェーン攻撃、「Codecov」が標的に
「Firefox 84」が登場 - 深刻な脆弱性など14件を修正
「Docker API」狙う攻撃に注意 - 9月ごろより増加
中国で脆弱性を発見する国際コンテスト - 11製品で脆弱性が明らかに
OSSのシステム監視ツール「Pandora FMS」に深刻な脆弱性
セキュリティ管理製品に新版、クラウド対応を強化 - カスペ
「Docker Compose」と「Remote API」を接続するOSSに脆弱性
脆弱な「Docker」の探索行為、11月ごろより増加