https://static.jiayezz.com/4c/9b1ead5b23ac34e6c8d09f01f4f3ca

2016年5月17日,某平台爆出Docker Swarm集群端口开放暴露在外,导致远程未授权访问漏洞,进而可执行Docker 节点具体的命令。利用该漏洞直接获取root权限。


什么是Docker? 

Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署,包括VMs(虚拟机)、bare metal、OpenStack 集群和其他的基础应用平台。


漏洞统计

第一时间,webscan对其进行漏洞跟踪,通过对全球195万开放2375端口进行检测。最后确认存在漏洞主机数未1339,其中中国地区191,中国台湾省10。共计201台服务器存在该问题。

其中分布情况如下:

https://static.jiayezz.com/02/11fd5b7c652cf5646c9b20ffffda42

(图一 全球存在docker 未授权访问漏洞 top 10)

https://static.jiayezz.com/12/27a6796307d39c5886d0e280b4d35e

(图二 中国地区存在docker 未授权访问漏洞各省分布)

https://static.jiayezz.com/62/848e5e71a41f638778599e0be5e919

(图三 中国地区存在docker 未授权访问漏洞城市分布)


漏洞修复

1、2375端口禁止对外开放。

2、使用加密协议进行传输,防止MITM攻击

3、更改网络访问控制,根据Swarm官方文档配置合理的访问规则

在这里希望大家尽快修复漏洞。减少损失。以免被恶意攻击者利用!


相关link:

http://drops.wooyun.org/papers/15892

文章原文链接:https://www.anquanke.com/post/id/83945