Yeni Docker 1 tıklayın RCE Saldırısı Yasalar Yanlış Yapılandırılmış API Ayarları

   Ocak 28, 2025  Posted in CyberSecurityNews


Yeni Docker 1 tıklayın RCE Saldırısı Yasalar Yanlış Yapılandırılmış API Ayarları

Docker kurulumlarını hedefleyen yeni açıklanan bir saldırı yöntemi, geliştiriciler ve sistem yöneticileri arasında önemli güvenlik endişelerini artırmıştır.

Güvenlik açığı, yanlış yapılandırılmış bir Docker motor API ayarından yararlanır ve saldırganların minimum kullanıcı etkileşimi ile uzaktan kod yürütme (RCE) elde etmesine izin verir. Docker’ın varsayılan ayarları güvenli olsa da, belirli yapılandırmaların sağlanması sistemleri kritik olarak açık bırakabilir.

Saldırı, kapları, görüntüleri ve ağları yönetmek için tasarlanmış dinlendirici bir arayüz olan Docker Engine API’sının etrafında dönüyor. Varsayılan olarak, bu API localhost’a bağlıdır ve kimlik doğrulaması gerektirir.

Ancak, kullanıcılar yalnızca Localhost’a bağlama veya kimlik doğrulama gerektiren uygun güvenlik önlemleri olmadan 2375 numaralı API’yi etkinleştirirse, saldırganlar için potansiyel bir giriş noktası haline gelir.

Araştırmacıya göre, bu yapılandırma API’yi yetkisiz erişime maruz bırakarak kötü amaçlı aktörlerin kap oluşturmasına, komutları yürütmesine ve hatta ana makineye ayrıcalıkları artırmasına izin verir.

SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin.

Tarihsel olarak, maruz kalan Docker API’leri kriptaj ve botnet dağıtımları için kullanılmıştır. Ancak bu yeni saldırı yöntemi, bir web tarayıcısı aracılığıyla tetiklenebilen yeni bir “tek tıklamayla” sömürü yolu sunar.

Docker 1 tıklayın RCE Saldırısı

Saldırı zinciri, 2375 numaralı bağlantı noktasında açık bir API ile bir Docker örneği çalıştırırken kötü amaçlı bir web sitesini ziyaret eden bir kullanıcıyla başlar.

Saldırgan, HTML formları veya JavaScript gibi yaratıcı teknikleri kullanarak aynı Origin Politikası (SOP) kısıtlamalarını atlar fetch() Docker API ile etkileşim talepleri.

Konteyner oluşturma ve ayrıcalık artışı:

  • Saldırgan, yüksek ayrıcalıklara sahip yeni bir kap oluşturma isteği gönderir.
  • Kullanma HostConfig API seçeneği, ana bilgisayar dosya sistemini bağlarlar (/:/mnt) Container’a, kritik sistem dosyalarına okuma yazma erişimini sağlar.

Komut yürütme:

  • Konteyner oluşturulduktan sonra, saldırgan ek API uç noktaları aracılığıyla komutları yürütür. Örneğin, ana bilgisayar dosyalarının üzerine yazabilir veya hassas konumlarda dizinler oluşturabilirler.

Tarayıcı tabanlı sömürü:

  • En endişe verici yönü, bu eylemleri bir tarayıcıdan tetikleme yeteneğidir. Bir web sayfasına özel olarak hazırlanmış bir HTML formu veya komut dosyası yerleştirerek saldırganlar, bir kurban sitelerini ziyaret ettiğinde API çağrılarını otomatikleştirebilir.

Dockerfile kötüye kullanımı:

  • Saldırıdan yararlanıyor /build Uzaktan dockerfile yürütülmesine izin veren Docker API’sının uç noktası. Gibi parametreleri belirleyerek networkmode=hostsaldırganlar bir konteyner içinden ana bilgisayarın localhost ağı ile etkileşime girebilir.

Kavram Kanıtı

Örnek bir istismar, ana bilgisayar dosya sistemini monte eden ve ana bilgisayar dosyalarını manipüle etmek için komutlar yürüten bir dockerfile oluşturmayı içerir. İşlem, bir HTML formu gönderilerek veya maruz kalan API ile etkileşime giren JavaScript kodu çalıştırılarak başlatılır:

Bu basit etkileşim, kurbanın ev sahibi sistemi üzerinde tam kontrol ile sonuçlanır.

Docker, bunu güvensiz yapılandırmaları etkinleştiren kullanıcılar için kabul edilen bir risk olarak kabul etti. Bu tür saldırılara karşı korumak için:

  • Uzak API erişimini devre dışı bırakın: Docker API’sını 2375 numaralı bağlantı noktasına maruz bırakmaktan veya güvenilir IP adresleriyle sınırlamaktan kaçının.
  • Kimlik Doğrulamayı Etkinleştir: Docker API’sına erişmek için TLS sertifikalarını veya diğer kimlik doğrulama mekanizmalarını kullanın.
  • Ağ Etkinliği Monitör: Liman 2375’i hedefleyen olağandışı etkinlik için ağ trafiğini düzenli olarak denetleyin.
  • Güncelleme Yazılımı: Tüm Docker bileşenlerinin güvenlik yamalarıyla güncel olduğundan emin olun.
  • Kullanıcıları eğitin: Geliştiricileri ve yöneticileri güvenli yapılandırma uygulamaları hakkında bilgilendirin.

Bu saldırı, maruz kalan bir Docker API’si ve kullanıcı etkileşimi gibi belirli koşullar gerektirse de, yanlış yapılandırmaların ciddi güvenlik açıklarına yol açabileceğini vurgular.

Geliştiriciler, Docker ayarlarını derhal gözden geçirmeleri ve sistemlerini sömürüye maruz bırakabilecek gereksiz özellikleri devre dışı bırakmaları istenir.

Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek



Source link