Para peretas kini mulai memanfaatkan kelemahan pada server API Docker yang tidak terlindungi untuk menyebarkan malware, dan ancaman ini sudah mencapai tingkat yang sangat serius. Laporan dari Trend Micro yang dipublikasikan pada 21 Oktober mengungkapkan bahwa penyerang mengeksploitasi server API Docker yang terekspos untuk menyebarkan malware perfctl.
Proses serangan dimulai dengan para peretas memindai server untuk menemukan API Docker yang rentan. Setelah menemukan target, mereka membuat container Docker yang namanya mirip dengan container yang sah. Container ini kemudian diatur untuk beroperasi dalam mode istimewa (privileged mode) dan memanfaatkan ID proses ‘host’, yang memungkinkan container untuk berbagi ruang proses dengan sistem host. Hal ini membuat container dapat mengakses dan berinteraksi dengan proses-proses yang ada pada sistem host.
Selanjutnya, malware ini mengeksekusi payload yang dienkode dalam Base64 melalui API Docker Exec. Tujuan utamanya adalah melarikan diri dari container menggunakan perintah ‘nsenter’. Perintah tersebut punya kemampuan untuk beroperasi layaknya proses yang berjalan langsung pada sistem host. Malware ini kemudian mencari proses yang duplikat dan membuat skrip. Skrip tersebut berguna untuk konfigurasi variabel lingkungan serta mengunduh file berbahaya yang disamarkan agar tidak terdeteksi. Selain itu, malware perfctl memiliki strategi bertahan yang cukup kuat. Strategi yang digunakan, yaitu penggunaan layanan systemd atau cron jobs agar tetap aktif bahkan setelah sistem di-restart. Hal tersebut berdampak kesulitan untuk penghapusan malware perfctl.
Trend Micro memperingatkan bahwa eksploitasi terhadap server API Docker ini telah mencapai level yang sangat berbahaya. Perusahaan disarankan untuk segera mengamankan server mereka, memantau akses secara rutin, dan memastikan pembaruan keamanan selalu dilakukan. Para ahli juga menyarankan agar organisasi berpikir matang sebelum mengaktifkan API akses jarak jauh secara default, serta memastikan penggunaan autentikasi dan otorisasi yang kuat agar hanya pihak yang berwenang yang dapat mengaksesnya.
Tulisan asal : https://www.itpro.com/security/exploitation-of-docker-remote-api-servers-has-reached-a-critical-level