Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Docker

Docker

Docker Dalam Kepungan: Penjahat Cyber ​​Mengkompromikan Honeypots untuk Meningkatkan Serangan

by

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Peretas TeamTNT Menargetkan Server Docker Yang Tidak Dikonfigurasi Dengan Baik

by

Server Docker yang dikonfigurasi dengan buruk sedang aktif ditargetkan oleh grup peretasan TeamTNT dalam kampanye yang sedang berlangsung dimulai dari bulan lalu.

Menurut sebuah laporan oleh para peneliti di TrendMicro, para aktor memiliki tiga tujuan berbeda: untuk menginstal cryptominers Monero, memindai instance Docker yang rentan terhadap Internet, dan melakukan pelarian container-to-host untuk mengakses jaringan utama.

Seperti yang diilustrasikan dalam alur kerja serangan, serangan dimulai dengan membuat wadah pada host yang rentan menggunakan Docker REST API yang terbuka.

Alamat IP yang digunakan untuk infrastruktur TeamTNT saat ini (45[.]9[.]148[.]182) telah dikaitkan dengan beberapa domain yang melayani malware di masa lalu.

TrendMicro melaporkan bahwa kampanye ini juga menggunakan akun Docker Hub yang disusupi yang dikendalikan oleh TeamTNT untuk menghapus gambar Docker yang berbahaya.

Menggunakan akun Docker Hub yang disusupi membuat titik distribusi lebih andal bagi para aktor, karena lebih sulit untuk dipetakan, dilaporkan, dan dihapus.

TeamTNT adalah aktor canggih yang terus-menerus mengembangkan tekniknya, mengubah fokus penargetan jangka pendek tetapi tetap menjadi ancaman konstan bagi sistem Docker yang rentan.

Mereka pertama kali membuat worm untuk mengeksploitasi Docker dan Kubernetes secara massal pada Agustus 2020.

Selengkapnya: Bleeping Computer

Botnet penambangan kripto sekarang mencuri kredensial Docker dan AWS

by

Analis dari perusahaan keamanan Trend Micro mengatakan dalam sebuah laporan hari ini bahwa mereka telah menemukan botnet malware yang mengumpulkan dan mencuri kredensial Docker dan AWS.

Para peneliti telah menghubungkan botnet ke operasi kejahatan dunia maya yang dikenal sebagai TeamTNT; grup yang pertama kali terlihat selama musim panas 2020 memasang malware penambangan cryptocurrency pada platform kontainer yang salah konfigurasi.

Laporan awal pada saat itu mengatakan bahwa TeamTNT melanggar platform kontainer dengan mencari sistem Docker yang mengekspos port API manajemen mereka secara online tanpa kata sandi.

Para peneliti mengatakan grup TeamTNT akan mengakses kontainer Docker yang terekspos, menginstal malware penambangan kripto, tetapi juga mencuri kredensial untuk server Amazon Web Services (AWS) untuk berputar ke sistem TI perusahaan lainnya untuk menginfeksi lebih banyak server dan menyebarkan lebih banyak crypto- penambang.

Pada saat itu, para peneliti mengatakan bahwa TeamTNT adalah botnet penambangan kripto pertama yang menerapkan fitur yang didedikasikan untuk mengumpulkan dan mencuri kredensial AWS.

sumber : ZDNET

Malware Docker menjadi umum, pengembang perlu memperhatikan keamanan Docker dengan serius

by

Menjelang akhir tahun 2017, terjadi perubahan besar dalam dunia malware. Seiring teknologi berbasis cloud menjadi lebih populer, geng kejahatan siber juga mulai menargetkan sistem Docker dan Kubernetes.

Sebagian besar serangan ini mengikuti pola yang sangat sederhana di mana pelaku ancaman memindai sistem yang salah konfigurasi yang antarmuka adminnya terekspos secara online untuk mengambil alih server dan menyebarkan malware penambangan cryptocurrency.

Selama tiga tahun terakhir, serangan ini semakin intensif, dan strain malware baru serta aktor ancaman yang menargetkan Docker (dan Kubernetes) sekarang ditemukan secara teratur.

Namun terlepas dari kenyataan bahwa serangan malware di server Docker sekarang lebih banyak ditemukan, banyak pengembang web dan infrastruktur engineer belum mempelajari pelajaran mereka dan masih salah mengonfigurasi server Docker, membuat mereka rentan akan serangan.

Kesalahan paling umum dari kesalahan ini adalah membiarkan endpoint API administrasi jarak jauh Docker terbuka online tanpa otentikasi.

Strain malware terbaru ini ditemukan minggu lalu oleh firma keamanan China Qihoo 360. Dinamakan Blackrota, ini adalah trojan backdoor sederhana yang pada dasarnya adalah versi sederhana dari CarbonStrike beacon yang diimplementasikan dalam bahasa pemrograman Go.

Perusahaan, pengembang web, dan engineer yang menjalankan sistem Docker bagian dari sistem produksi disarankan untuk meninjau dokumentasi resmi Docker untuk memastikan mereka telah mengamankan kemampuan manajemen jarak jauh Docker dengan mekanisme otentikasi yang tepat, seperti sistem otentikasi berbasis sertifikat.

Sumber: ZDNet

Weave Scope dieksploitasi dalam serangan terhadap lingkungan cloud

by

TeamTNT telah menambahkan perangkat lunak Weave Scope yang sah ke perangkat serangannya dalam upaya menyusup ke lingkungan cloud.

Menurut penelitian baru yang diterbitkan oleh perusahaan keamanan siber Intezer dan Microsoft minggu ini, ini mungkin pertama kalinya Weave Scope disertakan dalam serangan berbasis cloud.

TeamTNT sebelumnya telah dikaitkan ke serangan terhadap instalasi Docker dan Kubernetes. Bulan lalu, pelaku ancaman juga memiliki kaitan dengan botnet penambangan cryptocurrency yang mampu mencuri kredensial AWS dari server. Grup ini juga diketahui mengunggah image Docker yang berbahaya ke Docker Hub.

Microsoft mengatakan bahwa image berbahaya yang terlihat pada pertengahan Agustus disebarkan dari repositori yang tidak terlihat dalam serangan sebelumnya. Satu image Docker, khususnya, pause-amd64: 3.3, terhubung ke server yang berbasis di Jerman yang berisi skrip berbahaya dan alat tambahan yang digunakan oleh grup.

Weave Works ‘Weave Scope adalah perangkat lunak visualisasi dan pemantauan sumber terbuka untuk Docker, Kubernetes, Sistem Operasi Cloud Terdistribusi (DC / OS), dan AWS Elastic Compute Cloud (ECS), yang memungkinkan pengguna untuk menonton proses yang sedang berjalan dan koneksi jaringan kontainer di lingkungan cloud melalui antarmuka khusus. Perangkat lunak ini juga mengizinkan administrator untuk menjalankan shell dalam cluster sebagai root, dan tidak memerlukan autentikasi secara default.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Malware Baru Bernama Kinsing, Sedang Menargetkan Server Docker

by

Perusahaan keamanan cloud, Aqua Security, mengungkapkan sebuah kampanye malware yang telah dimulai sejak tahun lalu dan masih berjalan hingga saat ini yang menyerang Docker perusahaan. Mereka merinci kampanye itu dalam postingan sebuah blog pada hari Jumat kemarin.

 

Operasi malware ini memindai internet untuk mencari server Docker yang menjalankan port API yang terpapar di internet tanpa kata sandi. Peretas kemudian membobol host yang tidak terlindungi dan memasang malware crypto-mining baru bernama Kinsing.

Menurut Gal Singer, seorang peneliti keamanan di Aqua, begitu para peretas menemukan Docker dengan port API yang terbuka, mereka akan menggunakan akses yang disediakan oleh port ini untuk membuat sebuah Ubuntu container, tempat mereka mengunduh dan menginstal malware Kinsing.

 

Tujuan utama malware ini adalah untuk menambang cryptocurrency pada Docker yang diretas, namun malware ini juga dilengkapi dengan fungsi sekunder. Fungsi tersebut termasuk menjalankan skrip yang menghapus malware lain yang mungkin berjalan secara lokal, dan juga mengumpulkan kredensial SSH lokal dalam upaya untuk menyebar ke jaringan kontainer perusahaan, untuk menginfeksi sistem cloud lain dengan malware yang sama.

Karena serangan malware Kinsing masih berlangsung, Aqua merekomendasikan agar perusahaan meninjau pengaturan keamanan Docker mereka dan memastikan tidak ada API administratif yang terpapar online. Seperti endpoint admin harus tetap berada di belakang firewall atau gateway VPN – jika perlu diekspos online – atau dinonaktifkan saat tidak digunakan.

 

Berita selengkapnya dapat dibaca pada tautan dibawah ini:

Source: ZDNet

A Hacking Group Is Targeting Exposed Docker API Endpoints.

by

Source: ZDNet

 

Hampir memasuki tahun 2020 dan beberapa sysadmin masih ada yang meninggalkan port admin Docker mereka terbuka di internet.

Sebuah Grup peretas saat ini sedang memindai internet secara massal untuk mencari platform Docker yang memiliki API endpoint yang terekspos secara online. 

Tujuan dari pemindaian ini adalah untuk memungkinkan kelompok peretas mengirimkan perintah dan menggunakan cryptocurrency miner pada instan Docker perusahaan tersebut, untuk menghasilkan dana untuk keuntungan grup mereka.

 

Check link diatas untuk berita lebih lengkapnya!