19/05/2024

Mes: marzo 2021

hackdockers

la mitad de los 4 millones de imágenes de Docker Hub público tienen vulnerabilidades críticas

Guido Rosales 07/03/2021

Un análisis reciente de alrededor de 4 millones de imágenes de Docker Hub realizado por la firma de seguridad cibernética Prevasio encontró que el 51% de las imágenes tenían vulnerabilidades explotables. Una gran cantidad de estos eran mineros de criptomonedas, tanto abiertos como ocultos, y 6.432 de las imágenes tenían malware.

El equipo de Prevasio realizó análisis tanto estáticos como dinámicos de las imágenes. El escaneo estático incluye análisis de dependencia, que verifica el gráfico de dependencia del software presente en la imagen en busca de vulnerabilidades publicadas. Además de esto, el equipo de Prevasio también realizó un escaneo dinámico, es decir, ejecutar contenedores a partir de las imágenes y monitorear su comportamiento en tiempo de ejecución. El informe agrupa las imágenes en vulnerables y maliciosas. Casi el 51% de las imágenes tenían vulnerabilidades críticas que podrían explotarse y el 68% de las imágenes eran vulnerables en varios grados. El 0,16%, o 6432 de las imágenes analizadas, contenían software malicioso. Las imágenes de Windows, que representaron el 1% del total, y las imágenes sin etiquetas, fueron excluidas del análisis.

A principios de este año, el equipo de seguridad cibernética de Aqua Security descubrió una nueva técnica en la que los atacantes creaban imágenes maliciosas directamente en hosts mal configurados. Otros equipos de investigación también han abogado por el "escaneo dinámico", realizado como parte de este estudio, para descubrir amenazas ocultas que el análisis de vulnerabilidad estática no detecta. El análisis de Prevasio, que se ejecutó en 800 máquinas durante un mes, encontró que los contenedores lanzados a partir de muchas imágenes sospechosas descargaron y ejecutaron malware. Los investigadores ejecutaron el antivirus Clam contra el malware descubierto en tiempo de ejecución y el escáner de vulnerabilidades Trivy de Aqua Security.

La minería de criptomonedas es un exploit popular que se ha dirigido a imágenes públicas de Docker en los últimos años. Los mineros de monedas representaron el 44% de las imágenes maliciosas. El 6,4% de las imágenes maliciosas tenían malware de Windows, el 23% tenían malware de flujo de mapas planos y el 20% tenían varias "herramientas de piratería". Los mineros de monedas caen en las categorías abiertas (hechas para ese propósito y publicitadas como tales) y ocultas (escondidas subrepticiamente dentro de una imagen con la intención de explotar la máquina del usuario). El malware flatmap-stream se introdujo en el paquete npm event-stream y se convirtió en millones de cargas de trabajo de producción en todo el mundo en 2018. El informe aclara que las "herramientas de piratería" incluyen herramientas de prueba de penetración, que no son maliciosas en el verdadero sentido. Están clasificados como tales por el informe, ya que su presencia en un entorno empresarial sería inaceptable. También se descubrió que algunas imágenes con software popular como Apache Tomcat y Jenkins tenían malware, lo que destaca la importancia de usar dichas herramientas de plataforma solo a partir de las imágenes mantenidas oficialmente. Vale la pena señalar aquí que el análisis de Rezilion en febrero de 2020 concluyó que el 50% de las vulnerabilidades en las 20 imágenes de contenedores más populares, de sus mantenedores oficiales, no representaban una amenaza significativa.

Varios estudios a lo largo de los años han observado el creciente número y alcance de vulnerabilidades en repositorios públicos como Docker Hub. Un estudio de 2015 encontró que el 30% de las imágenes oficiales (analizadas estáticamente) tenían vulnerabilidades de alta prioridad. A principios de 2020, un equipo académico concluyó que "el número de vulnerabilidades recientemente introducidas en Docker Hub está aumentando rápidamente" y "las imágenes certificadas son las más vulnerables", según un estudio de 2500 imágenes de Docker Hub. Otro documento [PDF] publicado a principios de este año probó alrededor de 2,2 millones de imágenes de Docker Hub y descubrió que hay vulnerabilidades graves de CVE presentes en alrededor del 30% de las imágenes oficiales. Se encontró que el número de vulnerabilidades era mucho mayor en las imágenes mantenidas por la comunidad.

La facilidad de empujar y extraer imágenes hacia y desde Docker Hub, al tiempo que facilita la vida de los desarrolladores, también ha facilitado que los actores maliciosos propaguen malware. Muchas plataformas en la nube como GCP, AWS y Azure tienen un escaneo de vulnerabilidad de imagen integrado. Docker Hub tiene una herramienta de escaneo que utiliza el motor de análisis de Snyk. Las herramientas de código abierto en este espacio incluyen Clair y grype. Se puede encontrar una base de datos de búsqueda de todas las imágenes maliciosas del estudio en https://malware.prevasio.com/. El informe completo está disponible en formato PDF.

herramientas

El problema de los estándares

Guido Rosales 07/03/2021

Siempre digo que no hay hombre inútil, sino limitación de herramientas. Entonces de tiempo en tiempo visito las tiendas tanto de herramientas de marca como ferreterías mas surtidas. Los vendedores son muy conocedores de su s productos, pero la verdad muchos de ellos no saben explicarte en detalle como funcionan de manera practica cada herramienta. Te pueden decir las caracteristicas de las mismas, sus indicadores clave, y sobre todo SU PRECIO, pero se observa que muchas veces NO HAN USADO NUNCA sus mismas herramientas para producir algo practico y real.

Algo similar nos pasa con los estándares en general, las famosas ISOs. Tenemos gente que se pierde en la letra menuda del documento, y trata de convencerte que si el estándar establece algo, esa es la receta del éxito.

Los estándares al final son como las herramientas de un mecánico, un carpintero, etc. Son instrumentos que nos permitirían lograr un objetivo de una manera general. Es decir le permitiría por ejemplo a un zapatero arreglar partes de su automóvil, a un mecánico, usando herramientas de zapatero le facilitara reparar un calzado, pero sin duda tener todas las herramientas o tener el set completo de mecánica o carpintería no te hará un experto en cada área u oficio.

El Objetivo por ejemplo de un SGSI no es implementar la ISO 27001, sino mediante la aplicación de las recomendaciones de la ISO 27001 y otras relacionadas, podrías implementar un SGSI. Diferente si lo que se busca es tener un SGSI certificado mediante la ISO 27001. Son puntos muy diferentes. Pero lo mas importante sera implementar un SGSI - sistema de gestión de la seguridad de la información. Si luego de hacerlo funcionar decides certificar, es otro tema.

No nos perdamos en el estandar o ISO, perdiendo el enfoque al OBJETIVO

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023