Por meio da análise de dados dos honeypots de contêineres configurados para monitorar ameaças, o pesquisador brasileiro da Trend Micro, Alfredo Oliveira, descobriu atividades notáveis de mineradores de criptografia não autorizados sendo implantados como contêineres usando uma imagem de contêiner de contribuição da comunidade publicada no Docker Hub. A imagem corrompida está sendo usada como parte de um serviço malicioso que fornece malware de mineração. As ferramentas de rede são recuperadas para realizar movimentos laterais em outros contêineres e aplicativos expostos.
Malware para Mac rouba cookies para fraudar autenticações de dois fatores
Os honeypots são configurados por padrão, isto é, configurados sem medidas de segurança ou software adotado pós-instalação. É importante notar que o Docker tem as melhores práticas ou recomendações para evitar configurações incorretas. Os honeypots que capturaram as atividades são honeypots hospedeiros de contêiner projetados para receber ataques direcionados à própria plataforma do contêiner, não aos aplicativos do contêiner.
As atividades que o pesquisador descobriu também são significativas, pois não precisam explorar vulnerabilidades e não dependem de nenhuma versão do Docker. A identificação de uma imagem de contêiner configurada incorretamente e, portanto, exposta, é tudo que os invasores podem fazer para infectar muitos hosts expostos.
Quando exposta, a API do Docker permite que o usuário execute uma ampla gama de comandos. Estes incluem listar os contêineres em execução; obtendo logs de um contêiner específico; iniciar, parar ou matar um contêiner; e até mesmo criar um novo container com uma imagem específica e opções dadas.
Recomendações
A configuração incorreta continua a ser um desafio constante para muitas organizações, segundo a Trend Micro, particularmente aquelas que adotam o DevOps, que se concentra no rápido desenvolvimento e entrega. A integração da segurança automatizada no ciclo de vida de desenvolvimento ajuda a discernir falhas de segurança que poderiam ser perdidas de outra forma e a reduzir as cargas de trabalho supérfluas. Algumas outras recomendações da empresa são:
- Para administradores de sistemas e desenvolvedores, sempre verifique a configuração da API e assegure-se de que ela esteja configurada para receber solicitações apenas de um determinado host ou rede interna.
- Implemente o princípio do menor privilégio: certifique-se de que as imagens do contêiner estejam assinadas e autenticadas, restrinja o acesso a componentes críticos (como o serviço daemon que ajuda a executar contêineres) e criptografe as conexões de rede.
- Siga as práticas recomendadas e ative os mecanismos de segurança, como as diretrizes do próprio Docker e os recursos de segurança integrados.

