[데일리시큐]전 세계 매달 500여 개 도커 포트 외부 노출…한국도 예외 아냐

뉴스 요약

카스퍼스키는 Docker의 노출된 API(포트 2375)를 악용하여 Dero 암호화폐를 채굴하는 악성코드 공격을 발견했습니다. 매달 약 500건의 Docker API가 외부에 노출되어 있어, 관련 인프라를 운영하는 기업들에게 보안 조치가 시급합니다.

핵심 포인트

• Docker의 열린 API 포트(2375)를 악용한 암호화폐 채굴 공격 발견
• 공격자는 Dero 암호화폐 채굴
• 매달 평균 500개의 Docker API가 외부에 노출된 상태
• Docker 사용 기업들의 즉각적인 보안 조치 필요

기술 세부 내용

1️⃣ Docker API Security Issue

• Docker API는 Docker 엔진을 관리하고 컨테이너를 조작하는 데 사용되는 인터페이스입니다.
• 기본적으로 Docker API는 로컬에서만 접근 가능하도록 설정되어야 합니다. (Unix socket 사용)
• 그러나 TCP 포트 2375를 통해 원격 접근을 허용하도록 설정할 수 있습니다.
• 이 포트가 외부에 노출되면 인증 없이 누구나 Docker 엔진에 접근하여 컨테이너를 생성, 삭제, 시작, 중지할 수 있게 됩니다.
• 이러한 취약점을 악용하여 공격자는 악성 컨테이너를 실행하고 시스템 자원을 암호화폐 채굴에 사용할 수 있습니다. ⛏️

2️⃣ Dero Cryptocurrency Mining

• Dero는 프라이버시에 중점을 둔 암호화폐입니다. 익명성과 거래 추적 방지를 위해 CryptoNote 프로토콜을 사용합니다.
• 공격자는 Docker API 취약점을 악용하여 Dero 채굴 컨테이너를 배포하고 감염된 시스템의 CPU 및 GPU 리소스를 이용해 채굴을 수행합니다.
• Dero 채굴은 시스템 성능 저하, 과도한 리소스 사용, 전력 소비 증가 등의 문제를 야기할 수 있습니다.

3️⃣ Mitigation Measures for Docker API Exposure

• Docker API의 원격 접근을 비활성화하고 Unix socket을 사용하는 것이 가장 안전한 방법입니다. ️
• 꼭 원격 접근을 허용해야 하는 경우에는 TLS 인증서를 사용하여 안전하게 통신하도록 설정해야 합니다.
• 방화벽을 사용하여 포트 2375에 대한 외부 접근을 차단합니다.
• Docker 엔진 및 컨테이너 이미지를 최신 버전으로 유지하여 알려진 취약점을 패치합니다.
• 정기적인 취약점 스캐닝 및 침투 테스트를 통해 보안 위협을 사전에 감지하고 대응합니다.

4️⃣ Kaspersky Security Services

• Kaspersky Security Services는 기업을 위한 다양한 보안 솔루션을 제공합니다.
• 이 서비스는 침해 평가, 취약점 분석, 보안 감사 등을 통해 기업의 보안 posture를 강화합니다.
• 이번 Docker API 취약점 악용 사례는 Kaspersky Security Services 팀의 침해 평가 과정에서 발견되었습니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166477