修复配置错误的Docker API端口 - Intezer

这可能是为应用程序维护安全环境与运行恶意代码的受损机器之间的区别

Docker Linux恶意软件，它能够在超过6个月的时间内避开VirusTotal中所有常见的反恶意软件解决方案。这意味着，即使您使用了最新的安全解决方案，也可能无法检测到攻击。

暴露端口的危险

攻击者会持续扫描配置错误的Docker API端口。一旦发现错误配置，攻击者即可访问Docker守护进程，甚至控制运行在Docker平台上的云服务器。

Docker API通过CLI命令或库与Docker守护进程交互和控制（API提供了Python和Golang的SDK支持），这为攻击者提供了多种潜在的操作能力，包括：

• 检查服务器上运行的容器。
• 管理容器的生命周期。
• 创建和删除容器及其镜像。
• 从Docker Hub拉取镜像。
• 执行其他命令。

这种权限的获取使攻击者能够轻松地对服务器进行全面控制。

通过4个简单步骤修复端口

好消息是，您只需按照以下4个简单步骤即可确保您的Docker API端口不会暴露在公共互联网上：

1. 限制访问权限：通过防火墙或安全组仅允许可信IP访问Docker API端口。
2. 启用TLS认证：配置Docker守护进程以启用TLS认证，确保只有经过认证的客户端才能访问API。
3. 禁用未使用的端口：关闭所有未使用的端口，避免不必要的暴露。
4. 定期检查配置：定期审查和更新您的Docker配置，确保其符合最佳安全实践。

通过这些步骤，您可以有效降低Docker API端口暴露带来的安全风险。

Muhstik僵尸网络瞄准Docker容器

Muhstik僵尸网络是一个专门针对配置错误的Docker API端口的恶意软件，其主要活动包括：

• 扫描其他潜在受害者。
• 发起分布式拒绝服务（DDoS）攻击。
• 在受害者机器上运行加密矿工。

攻击者利用配置错误的Docker API端口，通过alpine Docker镜像创建新容器，并在其中运行僵尸网络程序。这种攻击方式不仅简单高效，还能让攻击者轻松控制受害者的Docker守护进程。

暴露的Docker API端口是攻击者的理想目标，因为它们易于识别且无需复杂操作即可获得对服务器的完全控制。为了避免成为攻击目标，您需要定期检查端口配置，确保其未暴露于公共网络。如果确实需要开放端口，也可以通过限制访问权限来确保安全。

总结

配置错误的Docker API端口可能会导致严重的安全问题，攻击者能够利用这些漏洞轻松控制您的云环境。通过限制访问、启用TLS认证、关闭未使用端口以及定期检查配置，您可以有效保护您的Docker环境免受攻击。此外，了解如Muhstik僵尸网络等威胁的工作原理，有助于您更好地预防类似攻击。

确保您的Docker API端口配置正确，是保护云环境安全的关键一步。采取行动，避免成为下一个受害者。

原文链接: https://intezer.com/blog/fix-your-misconfigured-docker-api-ports/