Một mã độc mới đang tấn công vào cổng 2375 của nền tảng mã nguồn mở Docker. 2375 là cổng mặc định được Docker mở trên localhost, sử dụng để lắng nghe các kết nối API nhưng do quản trị viên cấu hình chưa chuẩn nên bị lộ ra ngoài Internet. Cuộc tấn công bắt đầu bằng việc do thám và leo thang đặc quyền trước khi thực thi mã khai thác.

Virus trong chiến dịch tấn công này có khả năng cài đặt các phần mềm khai thác tiền điện tử, tạo backdoor cho phép truy cập từ xa và thực hiện các hoạt động tấn công khác nhằm vào cơ sở hạ tầng đám mây.

Các cổng Docker bị lộ ra là một trong những điểm yếu lớn nhất, tạo cơ hội cho tin tặc xâm nhập và triển khai mã độc. Đặc biệt, các cuộc tấn công này không chỉ nhắm vào các máy chủ Docker mà còn có thể mở rộng ra các dịch vụ khác như Hadoop YARN và Atlassian Confluence, gây nguy cơ bảo mật nghiêm trọng cho các hệ thống sử dụng công nghệ đám mây.

Các chuyên gia khuyến cáo các quản trị viên hệ thống cần kiểm tra và bảo vệ cổng kết nối ra ngoài Internet của Docker, giới hạn quyền truy cập để chúng không bị lộ, đồng thời áp dụng các biện pháp bảo mật như cập nhật các bản vá lỗi, sử dụng tường lửa và các cơ chế xác thực mạnh để giảm thiểu nguy cơ bị tấn công.

Bkav