Si vous accédez à vos instances Docker Engine par le réseau Internet, assurez-vous d’implémenter un dispositif d’authentification adéquat.
Les équipes de Palo Alto Networks donnent ce conseil eu égard à un malware qu’elles ont baptisé Graboid.
Ce ver mineur de cryptomonnaie a la particularité de se propager par l’intermédiaire de conteneurs.
Des instances non sécurisées du moteur Docker ont servi de point d’entrée. Elles ont permis de télécharger et de déployer un conteneur malveillant (pocosow/centos:7.6.1810).
Ce conteneur contient un client Docker. Il inclut aussi un script (/var/sbin/hash) qui se connecte à un serveur distant pour y récupérer quatre autres scripts :
Cette séquence se répète périodiquement (dernier intervalle constaté : toutes les 100 secondes) sur chaque machine infectée.
Sur les 2 034 IP que comprend la liste, une vingtaine (0,9 %) sont situées en France. Plus de la moitié (57 %) se trouvent aux États-Unis. Une quinzaine d’entre ces hôtes ont fait office de postes de commande. Un serveur web y a probablement été installé, là aussi par l’intermédiaire d’un conteneur.
Au 16 octobre 2019, pocosow/centos comptait plus de 10 000 téléchargements ; gakeaws/nginx, plus de 6 500.
Difficile de détecter le caractère malveillant du premier de ces deux conteneurs aussi longtemps que les quatre scripts ne sont pas téléchargés.
Pour le second, c’est plus évident. Ne serait-ce que de par l’inscription de l’adresse du porte-monnaie électronique « en dur », dans une variable d’environnement.
Photo d’illustration © Eugène Sergueev – Shutterstock.com
Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…
Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…
À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…
La pépite française de l'informatique quantique Pasqal va installer un ordinateur quantique de 200 qubits…
Le fonds de pension australien UniSuper a vu son abonnement Google Cloud supprimé - et…
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.