Servidores Docker mal configurados bajo ataque de Xanthe Malware

Un análisis dinámico de las imágenes disponibles públicamente en Docker Hub encontró que el 51% tenía vulnerabilidades críticas y alrededor de 6.500 de los 4 millones de imágenes más recientes podrían considerarse maliciosas. Más de la mitad de las imágenes más recientes disponibles en Docker Hub tienen vulnerabilidades críticas de software obsoleto, mientras que miles […]

Un análisis dinámico de las imágenes disponibles públicamente en Docker Hub encontró que el 51% tenía vulnerabilidades críticas y alrededor de 6.500 de los 4 millones de imágenes más recientes podrían considerarse maliciosas.

Más de la mitad de las imágenes más recientes disponibles en Docker Hub tienen vulnerabilidades críticas de software obsoleto, mientras que miles de imágenes son herramientas de ataque u otro software potencialmente peligroso, según un análisis de 4 millones de imágenes publicado el 1 de diciembre por Prevasio, una empresa de seguridad. 

Entre las amenazas más graves publicadas en Docker Hub como imágenes se encuentran más de 6.400 criptomineros, paquetes de JavaScript maliciosos, herramientas de piratería y malware de Windows. Solo una quinta parte de los 4 millones de imágenes probadas por la empresa no tenían vulnerabilidades reveladas, mientras que el 51% tenía al menos una vulnerabilidad crítica y el 13% tenía al menos una vulnerabilidad de alta gravedad.

Los contenedores Docker suelen albergar software obsoleto y vulnerable. En un artículo publicado en octubre, los investigadores encontraron que los contenedores utilizados para el análisis de imágenes médicas tenían un promedio de 320 vulnerabilidades, y el 20% tenía al menos una vulnerabilidad de alto riesgo.

La botnet de minería de criptomonedas Xanthe, nunca antes vista, se ha dirigido a las API de Docker mal configuradas.

Investigadores han descubierto una botnet de criptominería de Monero a la que llaman Xanthe, que ha estado explotando instalaciones de la API de Docker configuradas incorrectamente para infectar sistemas Linux.

Xanthe se descubrió por primera vez en una campaña que empleaba una botnet multimodular, así como una carga útil que es una variante del minero de criptomonedas XMRig Monero . Los investigadores dijeron que el malware utiliza varios métodos para propagarse por la red, incluida la recolección de certificados del lado del cliente para propagarse a hosts conocidos a través de Secure Shell (SSH).

“Creemos que esta es la primera vez que alguien documenta las operaciones de Xanthe”, dijeron los investigadores de Cisco Talos en un análisis del martes . “El actor mantiene activamente todos los módulos y ha estado activo desde marzo de este año”.

Xanthe, que lleva el nombre del título del archivo del script de propagación principal, utiliza un script de descarga inicial (pop.sh) para descargar y ejecutar su módulo de bot principal (xanthe.sh). Este módulo luego descarga y ejecuta cuatro módulos adicionales con varias funcionalidades de persistencia y anti-detección.

El proceso de ataque de Xanthe | Crédito: Cisco Talos

Estos cuatro módulos adicionales incluyen: Un módulo de ocultación de procesos (libprocesshider.so); un script de shell para deshabilitar otros mineros y servicios de seguridad (xesa.txt); un script de shell para eliminar contenedores Docker de troyanos competidores de criptominería dirigidos a Docker (fczyo); y el binario XMRig (así como un archivo de configuración JSON, config.json).

Una vez descargado, el módulo principal también se encarga de propagarse a otros sistemas en redes locales y remotas. Intenta propagarse a otros hosts conocidos robando certificados del lado del cliente y conectándose a ellos sin el requisito de una contraseña.

Xanthe contiene una función de propagación, localgo, que comienza obteniendo una dirección IP visible externamente del host infectado (conectándose a icanhazip.com). Luego, el script usa una utilidad de “búsqueda” para buscar instancias de certificados del lado del cliente, que se usarán para la autenticación en hosts remotos.