ที่งาน Blackhat ได้มีการเปิดเผยการใช้งาน API ของ docker เพื่อหลบเลี่ยงการตรวจจับของ malware บนเครื่องเหยื่อ อีกทั้งยังสามารถสั่งการระยะไกลไปยัง malware ดังกล่าวได้อีกด้วย

โดย security researcher ที่ชื่อว่า Sagie Dulce จาก Aqua Security ได้ทำตัวอย่าง malware ดังกล่าวขึ้นมาแล้วไปแสดงในงาน Blackhat US 2017

การโจมตีสามารถทำงานได้บน Docker ตัวไหนก็ได้ โดยเริ่มจาก

1. หลอกให้ Developer เข้าเว็บไซด์ที่ Attacker เตรียมไว้
2. รัน Javascript เพื่อติดต่อไปยัง Docker API ภายในเครื่องของเหยื่อโดยใช้ Host rebinding attack ซึ่งคือการใช้ name resolution protocol ของ Microsoft (NetBIOS และ LLMNR) ในการหลอกให้ IP ของเครื่องไปเป็นอีก IP หนึ่ง ซึ่งคล้ายๆกับ DNS Rebinding Attack การกระทำดังกล่าวทำให้สามารถ bypass SOP ได้
3. ใช้ JavaScript สั่งงานไปยัง Docker REST API เพื่อรันคำสั่งต่างๆ
4. สร้าง “Shadow Container” ซึ่งเป็น container ที่สั่งการทุกอย่างตามที่กำหนดไว้ซึ่งเป็นตัวที่ทำให้ Attacker สามารถ persistence ภายในเครื่องได้

ทาง Dulce ได้แจ้งให้ทาง Docker ทราบแล้ว ทาง Docker กล่าวว่าเป็นได้ทำการปิด HTTP API Port เพื่อป้องกันการโจมตีดังกล่าวแล้ว รวมถึงหากเป็น version เก่าสามารถกำหนด authenticate ก่อนที่จะใช้งาน API ก็ทำได้เช่นกัน หรือหากไม่ต้องการจริงๆก็ block port 2375 ไปเลย หรืออาจจะทำการ disable LLMNR และ NetBIOS ไปด้วยก็เป็นการป้องกันได้เช่นกัน

Source:: Threatpost.com