0
0
Novas pesquisas revelam a escala em que os criminosos têm explorado repositórios públicos de código aberto do Docker para plantar malware entre imagens de contêineres.
Uma nova análise de segurança das 4 milhões de imagens de contêineres hospedadas no repositório do Docker Hub revelou que mais da metade continha pelo menos uma vulnerabilidade crítica. A revisão também identificou milhares de imagens que continham malware ou aplicativos potencialmente prejudiciais, destacando a necessidade de as organizações terem políticas rigorosas e processos de revisão em vigor para o fornecimento de imagens de contêineres e componentes de software de terceiros em geral a partir de repositórios públicos.
Os ataques que exploram a cadeia de fornecimento de software não são novos, mas a crescente popularidade dos DevOps, o desenvolvimento ágil e a arquitetura de software baseada em microserviços alimentadas por tecnologias de contêineres têm alimentado o crescimento de registros públicos que hospedam componentes e imagens de software pré-fabricados. Por sua vez, isso levou os invasores a tentar explorar essas relações publicando códigos maliciosos nesses repositórios de pacotes diretamente ou comprometendo as contas existentes.
Em seu relatório State of the Software Supply Chain de 2020, a empresa de governança de código aberto Sonatype relatou um crescimento de 430% em relação ao ano anterior em ataques que tentam se infiltrar em projetos de software de código aberto a montante, explorando a complexa rede de dependências entre eles. Muitos desses ataques aproveitaram os repositórios de pacotes públicos para distribuir malware, por exemplo, npm para o ecossistema JavaScript ou PyPi para a comunidade de desenvolvedores Python. O Docker Hub não é exceção, mesmo que seja usado para distribuir imagens de contêineres pré-construídas em vez de pacotes de software individuais.
De acordo com o relatório Sonatype, o Docker Hub viu a adição de 2,2 milhões de imagens de contêineres no último ano e está a caminho de receber 96 bilhões de pedidos de retirada de imagem de desenvolvedores este ano.https://imasdk.googleapis.com/js/core/bridge3.426.0_en.html#goog_110788387800:00 de 11:07Volume 0%Anúncio de carregamento
Imagens vulneráveis do Docker
Tecnologias de contêineres como a Docker trouxeram grandes melhorias na velocidade com que as empresas podem implantar e escalar suas aplicações. Por exemplo, puxar uma imagem docker pré-construída contendo uma instância do MySQL de um registro público como o Docker Hub para ser usado por um aplicativo leva segundos em comparação com a instalação manual e configuração do servidor de banco de dados.
No entanto, ao usar qualquer pacote de terceiros em seus próprios projetos, as organizações devem estar sempre cientes do risco de baixar e executar versões desatualizadas com vulnerabilidades conhecidas. Os contêineres Docker não são diferentes a este respeito e, na verdade, o risco é maior porque eles incluem pilhas de software completas que têm uma camada de sistema operacional e camada de aplicativo e não um único pacote.
De acordo com a análise do Sonatype, pelo menos 11% dos componentes de código aberto consumidos pelos desenvolvedores têm pelo menos uma vulnerabilidade conhecida, mas isso pode variar significativamente entre linguagens de programação e repositórios de pacotes. Por exemplo, uma análise de 2019 do registro npm constatou que quase 40% dos pacotes hospedados dependiam de código com falhas conhecidas.
Quando se trata de imagens docker hospedadas no Docker Hub, os resultados de uma varredura completa do repositório publicada hoje pela empresa de análise de ameaças Prevasio revelaram que 51% de todas as imagens de contêineres tinham vulnerabilidades críticas, 13% tinham vulnerabilidades classificadas como de alta gravidade e 4% tinham falhas moderadas.
Isso mostra que o risco de executar software desatualizado como resultado de imagens retiradas do Docker Hub é alto, mas pode ser reduzido escolhendo editores confiáveis que mantêm suas imagens atualizadas e tendo políticas em vigor que requerem análise de vulnerabilidade e análise de configuração das imagens do Docker no momento da implantação, bem como em intervalos regulares.
Em setembro, a Docker anunciou uma parceria com a empresa de segurança Snyk para integrar os recursos nativos de varredura de vulnerabilidades no Docker Desktop e no Docker Hub. No entanto, há outro risco associado às imagens do Docker de fontes de terceiros que são mais difíceis de mitigar — imagens com malware ou aplicativos trojanizados.
Imagens de Docker maliciosos
Todos os repositórios de software e lojas de aplicativos são alvos de hackers interessados em empurrar malware para usuários desavisados e o sucesso desses ataques depende de quão perto esses repositórios são policiados. Durante sua análise, pesquisadores da Prevasio identificaram 6.433 imagens maliciosas ou potencialmente prejudiciais, representando 0,16% de todo o registro do Docker Hub.
“Se o desenvolvedor de uma empresa pegar um atalho ao buscar uma imagem pré-construída, em vez de compor uma nova imagem do zero, há um risco viável de que tal imagem pré-construída possa vir pré-trojanizada”, alertaram os pesquisadores do Prevasio. “Se essa imagem acabar em produção, os atacantes podem potencialmente ser capazes de acessar tais aplicativos conteinerizados remotamente através de um backdoor.”
Os mineradores de criptomoedas foram o tipo mais comum de malware encontrado nas imagens do Docker, representando 44% das imagens maliciosas. Outros 23% continham um ladrão de carteiras Bitcoin na forma de um pacote npm chamado flatmap-stream, 20% continham várias ferramentas de hacking, como estruturas pós-exploração que fornecem backdoors aos invasores e 6,5% representavam malware do Windows.
“Nossa análise das imagens maliciosas do contêiner revelou um amplo uso do código multiplataforma, em particular o GoLang, .NET Core e PowerShell Core”, disseram os pesquisadores. “A portabilidade do código multiplataforma é lucrativa para os invasores, pois aumenta o ROI por seus esforços. Ou seja, o código malicioso que eles escrevem não precisa ser escrito várias vezes para várias plataformas. Ele pode ser escrito uma vez, e executado em todos os lugares, incluindo contêineres Linux. Como resultado, um grande número de estruturas de segurança ofensivas e ferramentas de pós-exploração, como Mimikatz ou Caldera, agora podem ser encontradas em contêineres Linux Docker, facilitando a proliferação de técnicas maliciosas do Windows bem evoluídas para o mundo do Linux.”
O Prevasio também encontrou imagens com aplicativos trojanizados, por exemplo, versões backdoored do WordPress, do servidor de aplicativos web Apache Tomcat ou da ferramenta Jenkins CI/CD. Em alguns casos, as imagens de contêineres incluíam artefatos como páginas web de spam que provavelmente eram resultado de uma infecção por malware no computador que foi usado para gerá-los.
A varredura offline de imagens de contêineres com um produto anti-malware pode não ser suficiente para capturar tais ameaças, porque os atacantes estão usando cada vez mais cargas dinâmicas. Isso significa que a carga maliciosa é baixada e instalada no contêiner quando após a imagem ser implantada pela primeira vez.
“Nossa análise de contêineres maliciosos também mostra que algumas imagens contêm uma carga dinâmica”, disseram os pesquisadores. “Ou seja, uma imagem em sua forma original não tem um binário malicioso. No entanto, no tempo de execução, ele pode ser roteirizado para baixar uma fonte de um coinminer, para então compilá-lo e executá-lo.”
Capturá-las requer ferramentas de análise dinâmica onde a imagem é executada e monitorada dentro de uma caixa de areia semelhante à usada para detectar se os executáveis do Windows são maliciosos analisando seu comportamento no tempo de execução.
FONTE: CSO ONLINE