Contacto
Links
Menú
Ubicacion
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.
diciembre 27, 2022
Más de 1600 imágenes de Docker Hub disponibles públicamente ocultan comportamientos maliciosos, incluidos mineros de criptomonedas, secretos incrustados que se pueden usar como puertas traseras, secuestradores de DNS y redireccionadores de sitios web.
Docker Hub es una biblioteca de contenedores basada en la nube que permite a las personas buscar y descargar libremente imágenes de Docker o cargar sus creaciones en la biblioteca pública o repositorios personales.
Las imágenes de Docker son plantillas para la creación rápida y sencilla de contenedores que contienen código y aplicaciones listos para usar. Por lo tanto, aquellos que buscan configurar nuevas instancias a menudo recurren a Docker Hub para encontrar rápidamente una aplicación que se implemente fácilmente.
Desafortunadamente, debido al abuso del servicio por parte de los actores de amenazas, más de mil cargas maliciosas presentan riesgos graves para los usuarios desprevenidos que implementan imágenes cargadas de malware en contenedores alojados localmente o basados en la nube.
Muchas imágenes maliciosas usan nombres que las disfrazan como proyectos populares y confiables, por lo que los actores de amenazas claramente las cargaron para engañar a los usuarios para que las descarguen.
Los investigadores de Sysdig investigaron el problema, trataron de evaluar la escala del problema e informaron sobre las imágenes encontradas que presentan algún tipo de código o mecanismo malicioso.
Además de las imágenes revisadas por Docker Library Project, que se verifica que son confiables, cientos de miles de imágenes con un estado desconocido están en el servicio.
Sysdig usó sus escáneres automatizados para analizar 250 000 imágenes de Linux no verificadas e identificó 1652 de ellas como maliciosas.
La categoría más grande fue la de cripto-mineros, que se encuentra en 608 imágenes de contenedores, apuntando a los recursos del servidor para extraer criptomonedas para los actores de amenazas.
La segunda ocurrencia más común fueron las imágenes que ocultaban secretos incrustados, midiendo 281 casos. Los secretos incrustados en estas imágenes son claves SSH, credenciales de AWS, tokens de GitHub, tokens de NPM y otros.
Sysdig comenta que estos secretos pueden haber sido dejados en imágenes públicas por error o inyectados intencionalmente por el actor de amenazas que los creó y subió.
“Al incorporar una clave SSH o una clave API en el contenedor, el atacante puede obtener acceso una vez que se implementa el contenedor”, advierte Sysdig en el informe .
“Por ejemplo, cargar una clave pública en un servidor remoto permite a los propietarios de la clave privada correspondiente abrir un shell y ejecutar comandos a través de SSH, de forma similar a implantar una puerta trasera”.
Muchas imágenes maliciosas descubiertas por Sysdig usaban typosquatting para hacerse pasar por imágenes legítimas y confiables, solo para infectar a los usuarios con criptomineros.
Esta táctica sienta las bases para algunos casos de gran éxito.
Sysdig dice que en 2022, el 61 % de todas las imágenes extraídas de Docker Hub provienen de repositorios públicos, un aumento del 15 % con respecto a las estadísticas de 2021, por lo que el riesgo para los usuarios va en aumento.
Desafortunadamente, el tamaño de la biblioteca pública de Docker Hub no permite a sus operadores examinar todas las cargas diariamente; por lo tanto, muchas imágenes maliciosas no se denuncian.
Sysdig también notó que la mayoría de los actores de amenazas solo cargan un par de imágenes maliciosas, por lo que incluso si se elimina una imagen riesgosa y se prohíbe el cargador, no afecta significativamente el panorama de amenazas de la plataforma.
Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.