Lectura oscura | Seguridad | Proteja el negocio



Typosquatting y el relleno de credenciales son dos de las formas más comunes en que los atacantes intentan atacar la infraestructura de contenedores de las empresas y la cadena de suministro de imágenes de Docker, con ataques que aumentaron casi un 600% en la segunda mitad de 2020 en comparación con el mismo período hace un año. Eso es según un informe publicado por el proveedor de seguridad nativo de la nube Aqua Safety el 21 de junio.

Muchos atacantes usan escaneo pasivo, utilizando servicios como Shodan o herramientas como Nmap para encontrar servidores que alojan el demonio Docker o la plataforma de orquestación de contenedores de Kubernetes, intentando atacar esas plataformas utilizando credenciales o vulnerabilidades robadas, según el informe. Otro ataque popular utiliza typosquatting [creando nombres de imágenes similares a imágenes legítimas] e imágenes vanilla que tienen una variante de una imagen well known, como Alpine Linux, para intentar beneficiarse de los errores de los desarrolladores.

Cuando los atacantes obtienen acceso, a menudo instalan software package de criptomineros o intentan escapar del contenedor y comprometer el sistema host, dice Assaf Morag, analista de datos líder de Aqua Safety.

«Los atacantes buscan constantemente nuevas técnicas para explotar contenedores y [Kubernetes]», dice. «Por lo normal, encuentran un acceso inicial a estos entornos e intentan escapar al host y recopilar credenciales, insertar puertas traseras y buscar más víctimas».

A medida que las empresas trasladan una mayor parte de su infraestructura a la nube, los atacantes las han seguido. Un estudio de las imágenes disponibles públicamente en Docker Hub realizado a fines del año pasado encontró que el 51% de las imágenes tenían vulnerabilidades críticas y aproximadamente 6.500 de los 4 millones de imágenes más recientes, aproximadamente el .2%, podrían considerarse maliciosas.

Además, los desarrolladores que crean y utilizan contenedores a menudo no se centran en la seguridad. Una encuesta de 44 imágenes de software package utilizadas específicamente en neurociencia y ciencia de datos médicos encontró que un contenedor construido a partir de las imágenes tenía más de 320 vulnerabilidades diferentes en promedio.

Los atacantes saben que las configuraciones incorrectas son comunes y han utilizado una variedad de técnicas para escanear con más frecuencia. el informe de Aqua Security dice.

«Esta técnica es muy eficaz porque los atacantes utilizan los hosts infectados para la operación de análisis, lo que aumenta la frecuencia de la actividad de análisis y las posibilidades de encontrar errores de configuración rápidamente», según el informe. «Algunos adversarios continúan usando motores de búsqueda públicos, como Shodan o Censys, mientras que otros usan herramientas de escaneo como Masscan».

En un ejemplo de typosquatting, la empresa encontró una imagen con el nombre de «Tesnorflow», un intento de beneficiarse de los errores ortográficos del conocido paquete de aprendizaje automático TensorFlow. Muchos científicos de datos usan el contenedor y es posible que no presten atención a los errores ortográficos en el nombre, dice Morag.

«Si usted es un científico de datos que accidentalmente extrae y ejecuta una imagen de contenedor de Tesnorflow, también ejecutará un criptominer», dice. «Informamos eso a Docker Hub y lo eliminaron de inmediato».

En otro caso, Aqua Protection descubrió que una organización legítima había alojado un paquete de JavaScript malicioso en su registro público de Docker Hub, el servicio en línea desde el que puede extraer y ejecutar varias aplicaciones.

«Realmente robó credenciales y exfiltró estos datos», dice la compañía en el informe. «Informamos de inmediato a esta empresa y han solucionado este problema de seguridad».

En basic, los atacantes están utilizando una mayor cantidad de imágenes [un promedio de 3,78 por día] que el año anterior, y una mayor cantidad de ataques, 97 en la segunda mitad de 2020, frente a los 13 del mismo período del año anterior. Un nuevo honeypot recibe su primer ataque en cinco horas, según el informe.

Los honeypots de Aqua Stability también detectaron ataques que intentan utilizar Kubernetes y canalizaciones de compilación automatizadas para crear una aplicación en un servidor vulnerable utilizando imágenes. Las medidas anti-defensivas variaron desde las simples, como empaquetar ejecutables para evitar los escáneres de firmas, hasta las más complejas, como deshabilitar las medidas de seguridad y ejecutar código solo en la memoria.

En 2021, el enfoque de los atacantes parece pasar de comprometer contenedores individuales y pasar a grupos de contenedores administrados por Kubernetes o K8. El beneficio para el atacante es expandir la escala del impacto eventual, dice Morag.

«Desde la perspectiva del atacante, la superficie de ataque es más grande, asegurar los clusters de K8 es un poco más desafiante, y si el atacante logra encontrar y atacar un clúster, tiene muchas más oportunidades de ganar con el ataque», dice. «Por ejemplo, K8s permite a los atacantes ejecutar varios contenedores, por lo que en lugar de un solo criptominer, puede ejecutar docenas y posiblemente encontrar más credenciales y secretos».



Enlace a la noticia authentic