Docker: como hackers estão explorando conteinerização


17 imagens Docker disponibilizadas por uma única conta durante 10 meses no Docker Hub, com mais de 5 milhões de pulls, podem ter minerado US $90.000 em criptomoedas Monero.

Uma única pessoa ou grupo pode ter minerado até US $90.000 em 10 meses, espalhando 17 imagens maliciosas que foram baixadas mais de 5 milhões de vezes do Docker Hub, disseram pesquisadores da Kromtech Security Center. O repositório finalmente foi removido em maio, mais de oito meses depois de receber a primeira reclamação de usuários.

Como foi a invasão via imagens Docker

As imagens Docker são pacotes que normalmente incluem uma aplicação pré-configurada em execução em um sistema operacional. Ao baixá-las do Docker Hub, os desenvolvedores podem economizar muito tempo de configuração. Nos últimos meses, uma ou mais pessoas usaram a conta docker123321 do Docker Hub para fazer o upload de imagens publicamente disponíveis que continham código secreto para criptografia de mineração de criptomoedas.

Em setembro de 2017, um usuário do GitHub reclamou que uma das imagens continha um backdoor, uma espécie de vírus/programa malicioso.

Nem a conta do Docker Hub, nem as imagens maliciosas enviadas foram removidas. Nos meses seguintes, a conta enviou mais 14 imagens maliciosas. As submissões foram reportadas publicamente mais duas vezes, uma vez em janeiro pela empresa de segurança Sysdig e novamente em maio pela empresa de segurança Fortinet.

Oito dias após o relatório do mês passado, o Docker Hub finalmente removeu as imagens. O quadro a seguir, fornecido pela empresa de segurança Kromtech, mostra a cronologia dos envios das imagens para o Docker Hub.

Figura 1. Linha do tempo do ciclo de vida do usuário docker123321 no Docker Hub.

 

A ameaça a ser enfrentada

Além da possibilidade dos próprios usuários de containers Docker terem baixado essas imagens para utilizar em seus servidores, o crescente número de plataformas de orquestração mal configuradas e publicamente acessíveis, como o Kubernetes, podem ter facilitado, permitindo que os hackers criassem uma ferramenta totalmente automatizada que força essas plataformas utilizar estas imagens para minerar criptomoeda Monero.

Os clusters de Kubernetes, que são implantados para fins educacionais ou para testes com falta de requisitos de segurança, representam uma grande ameaça para seus proprietários. Até mesmo um engenheiro experiente poderia se importar menos ou mesmo esquecer essa parte da infraestrutura após os testes.

Um relatório de imagens mal-intencionadas, detalhada em uma postagem publicada na última quarta-feira pela empresa de segurança Kromtech, fornece mais informações e um alerta para os desenvolvedores.

“Para usuários comuns, apenas puxar uma imagem do Docker Hub e usar, é como extrair dados binários arbitrários de algum lugar, executá-lo e esperar pelo melhor, sem saber realmente o que há nele”, escreveram os pesquisadores.

Cuidados a serem tomados

Eles avisaram que, apesar das imagens terem sido removidas do Docker Hub, muitos servidores que instalaram as imagens ainda podem estar infectados.

Os pesquisadores também disseram que o malware pode continuar funcionando mesmo depois que os administradores acharem que apagaram a imagem maliciosa. A postagem de quarta-feira inclui os nomes de todas as 17 imagens. Qualquer pessoa que tenha instalado uma delas deve analisar os servidores em busca de sinais de infecção.

Também nesta postagem é relatado outros casos de hackers que conseguiram ter acesso a consoles de administração do Kubernetes, sem qualquer proteção por senha, entre esses casos está incluído o caso da Tesla, que além da exposição de dados eles usaram os servidores para minerar criptomoedas.

Assim como no relatório da Kromtech, mostrando que as imagens maliciosas utilizavam a técnica de Reverse Shell, vou trazer um exemplo mais próximo: há nove meses eu coloquei no Docker Hub uma imagem com Reverse Shell. A imagem foi criada para uma demonstração em ambiente controlado, então ela não seria uma ameaça, mas ninguém sabe que tem esse script lá dentro se não analisar, e essa imagem teve mais de 10 mil pulls. Pois é você pode estar usando uma imagem que dá acesso total ao seu servidor.

Para isso, existem várias ferramentas hoje no mercado para nos ajudar a manter nossos containers seguros. Neste artigo eu falo um pouco mais sobre algumas dessas ferramentas e mostro exemplos de utilização, algumas são gratuitas e outras open source, ferramentas que podem nos auxiliar e muito no nosso dia-a-dia, na verificação das imagens e ambientes onde utilizamos containers.

Mas o que são containers, Docker e Kubernetes? Se você ainda não conhece, dá uma conferida nos artigos abaixo:

E qual a sua opinião sobre conteinerização, já está utilizando em produção, seus containers estão seguros? Deixe um comentário abaixo.

Resumo
Docker: Como Hackers Estão Explorando Conteinerização
Nome do Artigo
Docker: Como Hackers Estão Explorando Conteinerização
Descrição
Entenda como hackers estão explorando a nova tendência de conteinerização dentro do Docker. Saiba mais sobre o caso divulgado pela Kromtech.
Autor
Nome
KingHost
Logo
Fernando Silva

Fernando Silva

Analista de Desenvolvimento em KingHost
Analista de Desenvolvimento na KingHost, graduado em Análise e Desenvolvimento de Sistemas (ADS) pela Faculdade Senac Porto Alegre, onde ganhou o Prêmio Keller de melhor trajetória acadêmica. Atualmente faz pós-graduação em Segurança Cibernética pela UFRGS, além disso, é um dos coordenadores da comunidade PHP-RS, é entusiasta Open Source e Software Livre.
Fernando Silva

Comentários

comentário(s)

Categories