Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Docker API狙うマルウェア「Kaiji」など見つかる

不用意にAPIが外部公開されている「Docker」サーバを狙い、感染を試みるマルウェアが観測されている。既存のコンテナが侵害されたり、不正なコンテナを設置されるおそれがある。

従来より「Docker」のAPIを狙った攻撃は観測されているが、これまでLinuxなど標的として活動してきたマルウェア「XORDDoS」や「Kaiji」なども、「Dockerサーバ」に対する感染活動を展開しはじめたという。

「XORDDoS」は、感染端末をボット化し、DDoS攻撃を展開するマルウェアで、従来Linuxを標的対象としてきたが、Trend Microによれば、今回確認された亜種は、「Docker」のAPIで利用する2375番ポートを検索し、感染活動を展開していた。

同マルウェアが2375番ポートが開放されたサーバを発見すると、コンテナの一覧を取得。各コンテナに対してコマンドを実行して感染を試みる。同社が同マルウェアの攻撃者に関連するURLを調査したところ、「Docker API」を標的とする別のマルウェア「Dofloo/AESDDoS」の亜種も確認されたという。

一方、telnetを利用し、ブルートフォース攻撃でIoT機器を中心に感染を広げる「Kaiji」の亜種についても、同じく2375番ポートが開放された「Docker」サーバを検索していた。「XORDDoS」と異なり、既存のコンテナを侵害するのではなく、マルウェアを含むあらたなコンテナを稼働させるという。

同社は、「Docker」の人気が集まる一方、攻撃者の標的にもなっていると指摘。ネットワークやコンテナを適切に保護する必要があると指摘している。

(Security NEXT - 2020/08/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

コンテナの制限を回避する脆弱性「Leaky Vessels」が判明
Docker、脆弱性「Leaky Vessels」を修正したアップデートを公開
APIゲートウェイ向けにOSSのセキュリティプラグインを公開
「IBM Instana」向けのデータストアに脆弱性 - 認証が欠如
日立のディスクアレイ用ソフトに深刻な脆弱性 - アップデートをリリース
Intelの24製品に「Apache Log4j」 - 23製品でパッチ提供済み
開発環境狙うサプライチェーン攻撃、「Codecov」が標的に
「Firefox 84」が登場 - 深刻な脆弱性など14件を修正
「Docker API」狙う攻撃に注意 - 9月ごろより増加
中国で脆弱性を発見する国際コンテスト - 11製品で脆弱性が明らかに