Les API Docker de nouveau attaquées

0
24

Les cybercriminels ont lancé des attaques contre les API Docker dans le passé, mais ils construisent et exécutent maintenant des images de conteneurs malveillants sur l'hôte, selon un nouveau rapport de l'équipe Nautilus d'Aqua.

Dans un article de blog détaillant la découverte, l'analyste principal des données chez Aqua Security, Assaf Morag a expliqué que c'est la première fois que la firme observe des attaquants créer leurs propres images au lieu d'utiliser celles provenant d'un registre public, en disant:

«L'attaquant exploite un port d'API Docker mal configuré pour créer et exécuter une image de conteneur illicite sur l'hôte. À notre connaissance, c'est la première fois qu'une attaque dans laquelle l'attaquant crée une image plutôt que de la retirer d'un registre public est observée dans la nature. »

Les chercheurs ont mis en place un pot de miel qui a pu capturer l'attaque en temps réel et ils ont utilisé ces enregistrements pour l'analyser par la suite.

Création d'images directement sur un hôte ciblé

Ce qui distingue cette récente attaque contre les API Docker des précédentes est le fait que «l'attaquant n'a pas extrait une image d'une source distante» mais a plutôt choisi de construire l'image directement sur l'hôte ciblé dans le but de contourner les mécanismes de défense. Cela permet également à l'attaquant d'augmenter la persistance de son infrastructure en la construisant directement sur l'hôte.

Cette nouvelle tactique est assez préoccupante car elle empêche les hôtes de signaler des images malveillantes à Docker Hub ou à d'autres registres publics. Aqua et d'autres sociétés comme celle-ci scannent ces registres fréquemment afin de trouver et de collecter des images malveillantes utilisées par les pirates.

Selon le blog de Morag, l'image construite directement sur l'hôte a été utilisée pour exécuter une attaque de détournement de ressources en utilisant un cryptominer et le cryptomining est actuellement la méthode d'attaque la plus populaire utilisée pour les conteneurs.

Bien que cette nouvelle tactique nécessite un peu plus de travail, elle n'est pas trop complexe techniquement et peut être effectuée par des pirates informatiques moins qualifiés.

Via TechTarget

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire