Trend Micro hat nach eigenen Angaben erstmals organisierte Angriffe auf Docker-Server entdeckt, die das Ziel haben, falsch konfigurierte Cluster mit einer DDoS-Malware zu infizieren. Bisher wurden solche über das Internet frei erreichbare Docker-Server vorwiegend mit Schadsoftware für das Schürfen von Kryptowährungen kompromittiert.
„XORDDoS und Kaiji waren bekannt dafür, Telnet und SSH zur Verbreitung zu nutzen, daher sehe ich Docker als einen neuen Vektor, der das Potenzial des Botnetzes erhöht, eine grüne Wiese voller frischer Früchte, die gepflückt werden können, ohne dass es unmittelbare Konkurrenten gibt“, sagte Pascal Geenens, Cybersecurity-Evangelist bei Radware, im Gespräch mit ZDNet.com. „Docker-Container bieten in der Regel mehr Ressourcen im Vergleich zu IoT-Geräten, aber sie laufen typischerweise in einer besser gesicherten Umgebung, und es könnte für den Container schwierig bis unmöglich sein, DDoS-Angriffe durchzuführen.“
Router oder IP-Kameras hätten in der Regel einen uneingeschränkten Zugriff auf das Internet, aber weniger Bandbreite und Rechenleistung als Container in einer kompromittierten Umgebung. Dafür stünden Containern mehr Ressourcen mit Arbeitsspeicher und CPU zur Verfügung, wobei sie häufig nur wenige Netzwerkprotokolle unterstützten, was das Arsenal der DDoS-Angriffsvektoren reduziere.
Letzteres spielt Geenens zufolge für Cryptomining keine Rolle, das hier nur ein offener HTTPS-Kanal benötigt wird. Docker-Server seien indes auch interessant, weil die Zahl der noch zu kapernden IoT-Geräte inzwischen sehr gering sei – Docker-Server hingegen ein für DDoS-Malware vollkommen neues Betätigungsfeld.
Geenens geht zudem davon aus, dass Docker-Container an sich für die Cyberkriminellen kein Neuland sind. Hacker setzten Docker sehr wahrscheinlich für ihre eigenen Infrastruktur ein, da sich die Vorteile für legitime Anwendungen wie Automation und DevOps auch auf illegale Anwendungen übertragen ließen.
Das häufigste Einfallstor für Docker-Malware sei das ein ohne Authentifizierung über das Internet erreichbares Management-Interface, das auch nicht durch eine Firewall geschützt sei. Trend Micro empfiehlt zudem weitere grundlegende Schritte, um Docker-Installationen abzusichern.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
