Trend Micro hat nach eigenen Angaben erstmals organisierte Angriffe auf Docker-Server entdeckt, die das Ziel haben, falsch konfigurierte Cluster mit einer DDoS-Malware zu infizieren. Bisher wurden solche über das Internet frei erreichbare Docker-Server vorwiegend mit Schadsoftware für das Schürfen von Kryptowährungen kompromittiert.
„XORDDoS und Kaiji waren bekannt dafür, Telnet und SSH zur Verbreitung zu nutzen, daher sehe ich Docker als einen neuen Vektor, der das Potenzial des Botnetzes erhöht, eine grüne Wiese voller frischer Früchte, die gepflückt werden können, ohne dass es unmittelbare Konkurrenten gibt“, sagte Pascal Geenens, Cybersecurity-Evangelist bei Radware, im Gespräch mit ZDNet.com. „Docker-Container bieten in der Regel mehr Ressourcen im Vergleich zu IoT-Geräten, aber sie laufen typischerweise in einer besser gesicherten Umgebung, und es könnte für den Container schwierig bis unmöglich sein, DDoS-Angriffe durchzuführen.“
Router oder IP-Kameras hätten in der Regel einen uneingeschränkten Zugriff auf das Internet, aber weniger Bandbreite und Rechenleistung als Container in einer kompromittierten Umgebung. Dafür stünden Containern mehr Ressourcen mit Arbeitsspeicher und CPU zur Verfügung, wobei sie häufig nur wenige Netzwerkprotokolle unterstützten, was das Arsenal der DDoS-Angriffsvektoren reduziere.
Letzteres spielt Geenens zufolge für Cryptomining keine Rolle, das hier nur ein offener HTTPS-Kanal benötigt wird. Docker-Server seien indes auch interessant, weil die Zahl der noch zu kapernden IoT-Geräte inzwischen sehr gering sei – Docker-Server hingegen ein für DDoS-Malware vollkommen neues Betätigungsfeld.
Geenens geht zudem davon aus, dass Docker-Container an sich für die Cyberkriminellen kein Neuland sind. Hacker setzten Docker sehr wahrscheinlich für ihre eigenen Infrastruktur ein, da sich die Vorteile für legitime Anwendungen wie Automation und DevOps auch auf illegale Anwendungen übertragen ließen.
Das häufigste Einfallstor für Docker-Malware sei das ein ohne Authentifizierung über das Internet erreichbares Management-Interface, das auch nicht durch eine Firewall geschützt sei. Trend Micro empfiehlt zudem weitere grundlegende Schritte, um Docker-Installationen abzusichern.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Über drei Millionen Angriffsversuche unter Deckmantel von Minecraft / YouTube-Star Mr. Beast als prominenter Köder
Die Prognose für die Anfahrt bezieht das Verkehrsaufkommen, die Stellplatzverfügbarkeit sowie die Lenk- und Ruhezeiten…
Unternehmen können mit Casebase Portfolio an Daten- und KI-Anwendungsfällen organisieren.
Smart-TV oder Saugroboter: Nutzer schützen ihre smarten Heimgeräte zu wenig, zeigt eine repräsentative BSI-Umfrage.
Im Benchmark erreicht der neue Core Ultra 200V eine Laufzeit von 14 Stunden. Intel tritt…
Jeder dritte hält sich damit für unsichtbar. Wie widersprüchlich unser Datenschutzverhalten oft ist, zeigt eine…