Imágenes de Docker maliciosas o vulnerables generalizadas, …



Un análisis dinámico de las imágenes disponibles públicamente en Docker Hub encontró que el 51% tenía vulnerabilidades críticas y alrededor de 6.500 de los 4 millones de imágenes más recientes podrían considerarse maliciosas.

Más de la mitad de las imágenes más recientes disponibles en Docker Hub tienen vulnerabilidades críticas de program obsoleto, mientras que miles de imágenes son herramientas de ataque u otro software program potencialmente peligroso, según un análisis de 4 millones de imágenes publicado el 1 de diciembre por Prevasio, una empresa de seguridad. .

Entre las amenazas más graves publicadas en Docker Hub como imágenes se encuentran más de 6.400 criptomineros, paquetes de JavaScript maliciosos, herramientas de piratería y malware de Home windows. Solo una quinta parte de los 4 millones de imágenes probadas por la empresa no tenían vulnerabilidades reveladas, mientras que el 51% tenía al menos una vulnerabilidad crítica y el 13% tenía al menos una vulnerabilidad de alta gravedad.

Las empresas deberían considerar los contenedores Docker como parte de su cadena de suministro que necesita protección, dice Rony Moshkovich, CEO y cofundador de Prevasio.

«Todos los meses hay algún tipo malo que mejora su juego y utiliza más contenedores como parte de su ataque», dice. «Esperamos que sea más frecuente, porque es muy fácil utilizar un contenedor Docker para engañar a un objetivo para que cree las herramientas de ataque dentro de su propia purple».

La cadena de suministro de computer software se ha convertido en un foco mayor de los esfuerzos de seguridad, ya que los atacantes han comenzado a explotar las debilidades para deslizar software package malicioso más allá de la seguridad del perímetro y en las computadoras de los empleados.

En abril, los investigadores de ReversingLabs encontraron que los atacantes habían contaminado el repositorio de RubyGem con más de 760 paquetes maliciosos que tenían nombres similares a bibliotecas legítimas para el lenguaje de programación Ruby. La variante de «typosquatting» intenta capitalizar los errores tipográficos de los desarrolladores.

En otro caso en 2018, un atacante obtuvo acceso al código de event-stream, un well known paquete de JavaScript alojado en el repositorio Node Bundle Supervisor (NPM), y agregó una funcionalidad maliciosa de robo de Bitcoin. El código malicioso pasó desapercibido durante unos dos meses.

Los contenedores Docker suelen albergar software obsoleto y vulnerable. En un artículo publicado en octubre, los investigadores encontraron que los contenedores utilizados para el análisis de imágenes médicas tenían un promedio de 320 vulnerabilidades, y el 20% tenía al menos una vulnerabilidad de alto riesgo.

El mundo empresarial no suele ser mucho mejor, dijo en un comunicado Alex Eckelberry, experto en seguridad y asesor de Prevasio. «La adopción de Docker se ha convertido en un estándar para aplicaciones complejas de clase empresarial en el mundo corporativo, y la mayoría de las grandes empresas implementan contenedores Docker de alguna forma», dijo. «Con la contenedorización ahora omnipresente, la superficie de ataque ha aumentado exponencialmente y los resultados de este análisis deberían ser motivo de preocupación para cualquier cliente empresarial».

Prevasio utilizó un sistema de espacio aislado dinámico para descargar y compilar imágenes en contenedores Docker y luego ejecutar los contenedores para detectar vulnerabilidades y comportamientos maliciosos. La compañia descargado todas las imágenes alojado en Docker Hub, que actualmente cuenta con casi 4,3 millones de imágenes, centrándose en la última versión de cada imagen.

El esfuerzo tomó 800 hosts virtuales casi un mes en paralelo, dijo la compañía.

Aproximadamente el 10% de las imágenes no tenían etiquetas y no se pudieron descargar, por lo que se excluyeron del análisis. Un total de 6.433 imágenes, aproximadamente el ,16% de Docker Hub, tenían algún comportamiento malicioso o sospechoso identificado por el escáner de código abierto ClamAV, con cientos de imágenes verificadas manualmente para excluir falsos positivos, indicó la compañía en su informe.

«Hemos cubierto muchas imágenes maliciosas que, bajo análisis estático, no tienen malware en cambio, (descargan) código malicioso en tiempo de ejecución», dice Sergei Chevchenko, CTO y cofundador de Prevasio. «La única forma de detectar estas amenazas dinámicas es realizar análisis en tiempo de ejecución y pruebas dinámicas».

El esfuerzo de escaneo no carece de precedentes. Las empresas de análisis de composición de program escanean regularmente repositorios, como Node Offer Supervisor (NPM) para aplicaciones JavaScript Node.js, Python Offer Index (PyPI) para el lenguaje de programación Python y RubyGems para aplicaciones Ruby. Y el servicio de escaneo de vulnerabilidades Snyk se ha asociado con Docker para escanear imágenes regularmente en busca de vulnerabilidades conocidas.

Varios proyectos de investigación también han abordado el problema. Si bien Python, por ejemplo, ha sido atacado por atacantes en el pasado, un análisis reciente del repositorio Sync PyPI, por ejemplo, solo encontró tres paquetes potencialmente maliciosos. Snyk y otra empresa, xs: code, se han asociado para crear un complemento de navegador para identificar proyectos de código abierto vulnerables para los desarrolladores.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Examining, MIT&#39s Technological innovation Assessment, Well-known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic