Alerta de seguridad: la amenaza proviene del inside de las imágenes del contenedor de Docker


Recientemente se detectaron cinco imágenes de contenedores de Docker maliciosas en Docker Hub, por un overall de más de 120.000 extracciones.

docker-new.jpg

Imagen: o_m / Shutterstock

Hay una nueva amenaza que los equipos de ciberseguridad deben tener en cuenta: contenedores Docker maliciosos que se esconden en sitios legítimos como Docker Hub, donde el brazo de investigación de amenazas de Aqua Protection, Group Nautilus, encontró cinco imágenes que representan la friolera de 120,000 extracciones por parte de usuarios desprevenidos.

Workforce Nautilus advierte además que las imágenes maliciosas de Docker podrían ser parte de un ataque más grande a la cadena de suministro de software con los ojos puestos en interrumpir los entornos nativos de la nube. Los ataques a la cadena de suministro implican tradicionalmente la manipulación física del hardware para instalar código malicioso que puede afectar a otras organizaciones que se encuentran más abajo en la cadena. Considere estas imágenes de Docker como una versión digital de un equipo que ha sido manipulado para instalar malware.

En cuanto a los ataques, el código que se utiliza en las cinco imágenes maliciosas tiene como objetivo hacer lo mismo: instalar un binario malicioso llamado xmrig que extrae secretamente la criptomoneda Monero, consumiendo de manera invisible los recursos del sistema.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Top quality)

Tres de las imágenes (thanhtudo, thieunutre y chanquaa) instalan xmrig utilizando un script de Python llamado dao.py, que se utilizó en una imagen de Docker maliciosa previamente descubierta llamada azurenql que se extrajo 1,5 millones de veces. Estas tres imágenes se basan en errores ortográficos para engañar a los usuarios para que las descarguen, y Nautilus dijo que no es possible que formen parte del posible ataque a la cadena de suministro.

Las otras dos imágenes maliciosas de Docker, openjdk y golang, intentan engañar a los usuarios haciéndoles creer que son imágenes para la implementación de código abierto de Java OpenJDK y el lenguaje de programación de código abierto Go. Son estos los que probablemente forman parte de un ataque a la cadena de suministro que tiene como objetivo infectar a las empresas que obtienen esas imágenes.

Assaf Morag, analista de datos líder del Team Nautilus, advirtió en un entrada de website que anuncia el descubrimiento que los ataques a la cadena de suministro son una seria amenaza para los entornos nativos de la nube. «Las organizaciones deben crear una estrategia de seguridad que pueda detectar y prevenir ataques a la cadena de suministro en cada etapa del ciclo de vida de la aplicación, desde la construcción hasta la producción», dijo Morag.

Consejos para prevenir ataques a la cadena de suministro

En la publicación de su web site, Morag recomienda tres estrategias para prevenir ataques a la cadena de suministro, comenzando por controlar el acceso a los registros públicos y tratando cualquiera de ellos como de alto riesgo. «Cree un registro interno curado para las imágenes del contenedor base y limite quién puede acceder a los registros públicos. Promulgue políticas que aseguren que las imágenes del contenedor sean examinadas antes de que se incluyan en el registro interno», dijo Morag.

En segundo lugar, Morag recomienda utilizar escaneo de malware estático y dinámico en imágenes de contenedores, ya que muchos atacantes pueden ofuscar el código en reposo. Supervise las imágenes activas en busca de tráfico sospechoso y otras actividades para asegurarse de que no se haya descargado malware en tiempo de ejecución.

Morag también recomienda lo que básicamente equivale a tratar las cadenas de suministro de software program de la misma manera que las físicas: mantener registros de integridad. «Es importante asegurarse de que las imágenes del contenedor en uso sean las mismas que han sido examinadas y aprobadas», dijo Morag. La firma digital, las cadenas de custodia basadas en blockchain y otras herramientas garantizan que la imagen de Docker que está descargando sea exactamente la misma que se supone que debe ser.

En una nota relacionada, y como se mencionó anteriormente, los atacantes a menudo confían en personas que descargan archivos maliciosos, tanto de Docker Hub como de otros lugares por mistake, creando nombres de archivos cuidadosamente mal escritos que probablemente pasen desapercibidos de un vistazo. Asegúrese de verificar siempre que está descargando desde la fuente correcta mirando el perfil del editor, leyendo los comentarios y examinándolos antes de causar un incidente de seguridad.

Ver también



Enlace a la noticia initial