Les conteneurs sont censés être immuables. Une fois l'image créée, elle est ce qu'elle est, et toutes les instances de conteneurs qui en découlent seront identiques. Le conteneur est défini en tant que code, son contenu, ses intentions et ses dépendances sont donc explicites. Pour cette raison, s'ils sont utilisés avec soin, les conteneurs peuvent contribuer à réduire les risques liés à la chaîne d'approvisionnement.Toutefois, ces avantages ne sont pas passés inaperçus aux yeux des attaquants. Un certain nombre d'acteurs de la menace ont commencé à tirer parti des conteneurs pour déployer des charges utiles malveillantes et même pour intensifier leurs propres opérations. Pour le rapport Sysdig 2022 Cloud-Native Threat Report, l'équipe de recherche sur les menaces de Sysdig (Sysdig TRT) a enquêté sur ce qui se cache réellement dans les conteneurs accessibles au public.
Les registres publics : Une arme à double tranchant
Docker Hub est le registre de conteneurs public gratuit le plus populaire. Il héberge des millions d'images de conteneurs préfabriquées dans des paquets pratiques et autonomes, avec tous les logiciels requis installés et configurés. Les registres publics hébergent également du contenu officiel et des images signées par des éditeurs vérifiés, ce qui ajoute un certain niveau de confiance dans le fait qu'elles ne sont pas malveillantes et peuvent être utilisées en toute sécurité. Bien que les registres publics fassent gagner du temps aux développeurs, si un utilisateur n'est pas prudent, le conteneur qu'il tire peut présenter des aspects malveillants. Avec autant de conteneurs parmi lesquels choisir, il est facile de choisir le mauvais.
Les acteurs de la menace apprécient également les frictions que cette technologie élimine des flux de travail des développeurs. Ils comptent sur le fait que de nombreux développeurs peuvent ne pas examiner ce qui est exactement installé. Selon le rapport de Sysdig sur les menaces, DockerHub est utilisé par des acteurs malveillants pour diffuser des logiciels malveillants, des portes dérobées et d'autres mauvaises surprises aux utilisateurs et aux entreprises. Une pratique spécifique à surveiller est le typosquattage, qui consiste à déguiser une image en légitime tout en cachant quelque chose d'infâme dans ses couches. Le nom de l'image peut être différent d'une lettre de l'image réelle, ou l'attaquant peut compter sur un développeur pour copier sans précaution des instructions contenant le mauvais chemin.
Sysdig TRT a trouvé des images partagées par des utilisateurs suspects avec des noms pour apparaître comme des logiciels open source populaires afin de tromper les utilisateurs. Par exemple, les noms de paquets populaires comme Drupal et Joomla ont été utilisés pour dissimuler des charges utiles malveillantes. Déployer ces images signifie ouvrir les portes de notre environnement aux attaquants, les laissant poursuivre leurs objectifs ou se déplacer en interne vers les actifs critiques de l'entreprise.
Ce que contiennent réellement les conteneurs
L'équipe TRT de Sysdig a analysé plus de 250 000 images Linux sur plusieurs mois. Au cours de la recherche, il a été constaté que 1 777 images contenaient divers types d'adresses IP ou de domaines malveillants et des informations d'identification intégrées.
En regardant de plus près, on constate que les images de minage de cryptomonnaies sont le type d'image malveillante le plus courant. Cela n'a rien d'étonnant, car le minage de crypto-monnaies sur les ressources informatiques de quelqu'un d'autre est le type d'attaque le plus répandu dans les environnements de cloud computing et de conteneurs.
L'intégration de secrets dans les images Docker est la deuxième technique d'attaque la plus répandue. Dans ce cas, les attaquants insèrent des secrets dans une image et utilisent ces informations pour prendre pied dans votre environnement et tenter ensuite de se déplacer latéralement. Par exemple, une clé SSH peut être ajoutée, ce qui pourrait permettre un simple accès à distance ou des clés AWS pourraient être ajoutées pour leur donner des capacités de cloud. Cela met en évidence les défis persistants de la gestion des secrets, une bataille que nous devons encore gagner.
Conclusion
Les images de conteneurs ne sont qu'un autre actif logiciel qui nécessite des contrôles de sécurité appropriés. Les conteneurs provenant de l'extérieur doivent faire l'objet d'un examen approfondi avant d'être utilisés par votre organisation, que ce soit en production ou sur des machines de développement. Les outils qui analysent les images de conteneurs avant leur chargement peuvent être utiles car ils examinent les couches et recherchent les vulnérabilités et les logiciels malveillants.
L'analyse statique seule ne suffit pas. L'analyse dynamique est le seul véritable moyen de savoir ce qui se passe une fois que le conteneur est en cours d'exécution. C'est là que les outils de détection et de réponse aux menaces jouent leur rôle dans la protection des charges de travail en nuage. Des outils tels que Falco, un projet open source de la CNCF, observent le comportement du conteneur et émettent une alerte ou une réponse automatique par le biais de diverses actions si ce comportement est suspect.
Les conteneurs sont là pour rester dans la chaîne d'approvisionnement. En fait, leur adoption ne cesse de croître. Les organisations doivent comprendre les risques que peuvent présenter les images préfabriquées. Les cryptomonnaies peuvent devenir très chères très rapidement, et les portes dérobées peuvent conduire à une compromission de l'ensemble de votre infrastructure. Tout le monde aime les conteneurs. Les attaquants aiment aussi les conteneurs.
Source : Sysdig
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Le rapport de Red Hat sur la sécurité de Kubernetes révèle que l'homme est le problème, l'entreprise estime que la complexité de Kubernetes déconcerte le cerveau humain Les conteneurs JavaScript surpasseront-ils les conteneurs Linux ? le créateur de Node.js pense que les conteneurs JavaScript pourraient simplifier l'écriture des services Web Devbox, une boîte à outils pour développeur, elle apporte des shells et des conteneurs simples et prévisibles, sans avoir besoin d'écrire un fichier Docker