0
0
Os cibercriminosos estão aumentando seus ataques ao Docker Engine — a base de software da infraestrutura de contêineres usada por muitas empresas nativas da nuvem. Pesquisadores sinalizaram um par de campanhas cibernéticas esta semana que mostram o risco crescente, incluindo um compromisso destinado a lançar ataques de negação de serviço (DoS) contra alvos russos.
Em 5 de maio, pesquisadores da plataforma de gerenciamento de nuvem Uptycs disseram que os atacantes comprometeram o honeypot da empresa, um servidor Docker configurado para permitir conexões através da API remota do Docker. Os ataques resultaram na instalação de software de criptominação pelos cibercriminosos e na criação de um shell reverso, o que teria permitido que eles explorassem o servidor em tempo real.
A empresa detectou de 10 a 20 tentativas de comprometer o servidor honeypot todos os dias, sugerindo que os atacantes aumentaram seu interesse em infraestrutura baseada no Docker, diz Amit Malik, diretor de pesquisa de ameaças da Uptycs.
“Configuramos uma de nossas máquinas como um pote de mel, e em três horas, vimos ela comprometida, então tivemos que desligá-la e reconstruí-la”, diz Malik. “O ponto de infecção é muito rápido.”
Os ataques à infraestrutura baseada no Docker da Uptycs não são únicos. Os incidentes estão acontecendo com outras empresas também.
Anfitriões involuntários para atividade hostil do DoS contra a Rússia
Os honeypots mantidos pela empresa de serviços de segurança cibernética CrowdStrike sofreram ataques semelhantes através da API remota Docker, geralmente atribuída à porta 2375 ou 2376, de acordo com uma análise de um ataque postada em 4 de maio.
Os pesquisadores do CrowdStrike revelaram que os atacantes comprometeram seus potes através da API aberta do Docker e, em seguida, instalaram duas imagens maliciosas de contêineres que foram usadas para atacar locais russos e bielorrussos.
As listas-alvo incluem os sites dos governos russo e bielorrusso, militares, mídia e varejo, bem como os setores russo de mineração, manufatura, química e tecnologia, de acordo com a CrowdStrike.
Ambos os contêineres habilitadores do DoS estão hospedados no Docker Hub. Uma das imagens foi baixada mais de 100.000 vezes; o segundo foi baixado 50.000. Os pesquisadores do CrowdStrike observaram que a parte desses downloads originados de máquinas comprometidas é desconhecida.
O uso de infraestrutura comprometida tem consequências de longo alcance para organizações que podem, involuntariamente, participar de atividades hostis contra alvos do governo russo, militares e civis, alertou a empresa. Qualquer investigação sobre o ataque pela inteligência russa provavelmente apontará para o servidor da vítima, diz Adam Meyers, vice-presidente de inteligência da CrowdStrike.
“É um pouco diferente quando eles estão usando sua infraestrutura para atacar um terceiro”, diz ele. “Se [a Rússia ou a Bielorrússia] começarem a olhar para esses ataques, eles podem dizer: ‘Oh, eles estão nos dosing, então vamos dos-los.’
Segurança Precisa se concentrar em ameaças do Docker
Enquanto o Docker é bem conhecido no desenvolvimento e nas comunidades DevOps, os profissionais de segurança podem não estar tão cientes do potencial de configurações ou vulnerabilidades inseguras para minar a segurança das empresas, diz Meyers.
A superfície de ataque é preocupante: em dezembro, a startup de segurança Prevasio descobriu que 51% das 4 milhões de imagens que digitalizaram no Docker Hub incluíam pacotes que tinham uma vulnerabilidade crítica de segurança. Na frente de configuração errada, enquanto expor a API remota do Docker não é uma configuração comum — atualmente a Shodan conta com 803 ativos expondo a porta 2375 — a varredura relativamente frequente da porta significa que qualquer configuração errada seria explorada rapidamente.
“É uma tecnologia relativamente nova, e com qualquer nova tecnologia há uma curva de segurança que acompanha isso”, diz Meyers. “Há uma falta geral de consciência em torno da ameaça, e isso é a coisa que estamos tentando levantar a bandeira com aqui. Você precisa levar a segurança do Docker a sério.”
Mais visibilidade necessária no Docker
Para entender seu nível de risco, as empresas devem garantir que possam monitorar adequadamente a área de superfície de ataque de ativos como Docker, servidores Kubernetes e infraestrutura relacionada ao DevOps, diz Siddharth Sharma, pesquisador da Uptycs.
“A maioria desses ataques passam despercebidos porque as pessoas podem não ter uma solução de segurança abrangente monitorando sua infraestrutura Docker”, diz ele. “Assim, o atacante não será detectado com tanta frequência, a menos que algo dê errado. Mas, muitas vezes, os tipos de [cargas] que instalam não são óbvios.”
No ano passado, a Docker mudou os termos de licenciamento do Docker Desktop, mudando para um modelo de assinatura e argumentando que a mudança ajudará a empresa a suportar mais recursos de segurança e auditorias. A mudança ocorreu dois anos após a separação da empresa, dividindo-se no Docker — focado no desenvolvimento com o Docker Hub e o Docker Desktop — e os componentes de infraestrutura corporativa da Docker Enterprise, que foi vendida para a Mirantis.
FONTE: DARK READING