fbpx

אקווה סקיוריטי הישראלית חושפת פרצת אבטחה בסביבות קונטיינרים

צוות חוקרי הסייבר של חברת אקווה סקיוריטי הישראלית, המתמחה בפתרונות הגנה לסביבות חדשות דוגמת קונטיינרים ו-Serverless, חשף מתקפת סייבר חדשה על סביבות קונטיינרים (Containers), אשר נמשכת כבר מספר חודשים. על פי חוקרי אקווה סקיוריטי, רוגלה אשר סורקת את האינטרנט מאתרת פורטים של API בשרתי Docker החשופים און ליין ללא סיסמא. ברגע גילוי פירצה זו ההאקרים פורצים לתוך השרתים המארחים הלא מוגנים ומתקינים בהם נוזקה בשם Kinsing לכריית מטבעות קריפטו.

חוקרי אקווה סקיוריטי, חשפו את המתקפות בבלוג שפרסמה החברה. על פי הפרטים הנחשפים בבלוג, המתקפות החלו בשנה שעברה והן עדיין נמשכות על בסיס כמעט יומי. "מדובר בהיקפים הגדולים ביותר שראינו מזה זמן רב, הרבה מעבר למה שהכרנו עד כה. לכן אנו מאמינים כי מתקפות אלו יזומות על ידי גורמים עם די משאבים ותשתיות הדרושות לבצע כאלו מתקפות לאורך זמן והן בבירור לא התקפות מאולתרות", אומר גל זינגר, חוקר סייבר באקווה סקיוריטי.

"מתקפה זו היא אחת מתוך רשימה ארוכה של נוזקות שכיוונו לשרתי Docker, אשר לא מוגדרים כהלכה ומספקות לקבוצות האקרים גישה למשאבי מיחשוב רבים", ציין זינגר. על פי זינגר, ברגע שההאקרים מוצאים ישות Docker עם פורט API חשוף, הם משתמשים בערוץ הגישה החשוף של הפורט על מנת לחדור לקונטיינר מסוג Ubuntu של Docker בו הם שותלים את הנוזקה. "המטרה העיקרית של הנוזקה היא לבצע כריית מטבעות קריפטו בישות ה- Docker, אך יש לה גם מטרות נוספות כמו הרצת סקריפטים המסירים נוזקות אחרות הרצות מקומית ועלולות לפגוע במערכות ענן".

דו"ח כמות התקיפות. קרדיט: יח"צ

כיוון שהמתקפות עדיין נמשכות, ממליצים מומחי אקווה סקיוריטי שחברות יבדקו את הגדרות האבטחה של שרתי ה- Docker שלהם ויוודאו בהגדרות כי אין APIs חשופים און ליין. "הגדרות נקודות קצה אמורות להיות מאחורי פיירוול או VPN Gateway – אם הן נדרשות להיות חשופות לגישה און ליין או במצב Disable אם הן ללא שימוש". "מתקפה זו היא דוגמא נוספת לאיום הגובר לסביבות Cloud Native. ככל שיישום סביבות הענן וסביבות קונטיינרים הופכים נפוצים יותר והשימוש בהם גדל, ההאקרים מעלים את כמות ההתקפות ואת רף התחכום", הוסיף זינגר.

זינגר מאמין שצוותי DevSecOps חייבים להעלות את ההיערכות שלהם ולהיות מודעים לסכנות שאורבות בענן, ולפתח אסטרטגית אבטחה על מנת להרחיק איומים.

זינגר מציע כמה צעדים שמומלץ לבצע:

  1. זהו את כל משאבי הענן וקבצו אותם במבנה לוגי.
  2. סיקרו את מדיניות ההרשאות ואימות הזהות של הארגון וכן את מדיניות האבטחה הבסיסית והתאימו אותן על פי עקרונות מחמירים יותר ופחות הרשאות.
  3. סירקו את האימג'ים שבשימוש, וודאו שמכירים אותם ואת השימוש בהם והעניקו פחות הרשאות שימוש. השתמשו בסורק Trivy the Open Source vulnerability scanner.
  4. חיקרו לוגים, בעיקר של פעולות המשתמשים, חפשו אחר פעולות שאפשר להגדיר כאנומליות.
  5. הוציאו לפועל אסטרטגית אבטחה במסגרתה תוכלו לאכוף מדיניות בקלות. שקלו להשתמש בכלי אבטחת ענן, אשר ירחיבו את טווח הפיקוח והנגישות שלכם למשאבי הענן.

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן