10/12/2024

la mitad de los 4 millones de imágenes de Docker Hub público tienen vulnerabilidades críticas

Salimos de una y entramos en otra. Mucho polvo para estar en lo mismo. Al final las vulnerabilidades afectan a todo tipo de tecnología.

hackdockers

Todo es hackeable en el planeta tierra

Un análisis reciente de alrededor de 4 millones de imágenes de Docker Hub realizado por la firma de seguridad cibernética Prevasio encontró que el 51% de las imágenes tenían vulnerabilidades explotables. Una gran cantidad de estos eran mineros de criptomonedas, tanto abiertos como ocultos, y 6.432 de las imágenes tenían malware.

El equipo de Prevasio realizó análisis tanto estáticos como dinámicos de las imágenes. El escaneo estático incluye análisis de dependencia, que verifica el gráfico de dependencia del software presente en la imagen en busca de vulnerabilidades publicadas. Además de esto, el equipo de Prevasio también realizó un escaneo dinámico, es decir, ejecutar contenedores a partir de las imágenes y monitorear su comportamiento en tiempo de ejecución. El informe agrupa las imágenes en vulnerables y maliciosas. Casi el 51% de las imágenes tenían vulnerabilidades críticas que podrían explotarse y el 68% de las imágenes eran vulnerables en varios grados. El 0,16%, o 6432 de las imágenes analizadas, contenían software malicioso. Las imágenes de Windows, que representaron el 1% del total, y las imágenes sin etiquetas, fueron excluidas del análisis.

A principios de este año, el equipo de seguridad cibernética de Aqua Security descubrió una nueva técnica en la que los atacantes creaban imágenes maliciosas directamente en hosts mal configurados. Otros equipos de investigación también han abogado por el “escaneo dinámico”, realizado como parte de este estudio, para descubrir amenazas ocultas que el análisis de vulnerabilidad estática no detecta. El análisis de Prevasio, que se ejecutó en 800 máquinas durante un mes, encontró que los contenedores lanzados a partir de muchas imágenes sospechosas descargaron y ejecutaron malware. Los investigadores ejecutaron el antivirus Clam contra el malware descubierto en tiempo de ejecución y el escáner de vulnerabilidades Trivy de Aqua Security.

La minería de criptomonedas es un exploit popular que se ha dirigido a imágenes públicas de Docker en los últimos años. Los mineros de monedas representaron el 44% de las imágenes maliciosas. El 6,4% de las imágenes maliciosas tenían malware de Windows, el 23% tenían malware de flujo de mapas planos y el 20% tenían varias “herramientas de piratería”. Los mineros de monedas caen en las categorías abiertas (hechas para ese propósito y publicitadas como tales) y ocultas (escondidas subrepticiamente dentro de una imagen con la intención de explotar la máquina del usuario). El malware flatmap-stream se introdujo en el paquete npm event-stream y se convirtió en millones de cargas de trabajo de producción en todo el mundo en 2018. El informe aclara que las “herramientas de piratería” incluyen herramientas de prueba de penetración, que no son maliciosas en el verdadero sentido. Están clasificados como tales por el informe, ya que su presencia en un entorno empresarial sería inaceptable. También se descubrió que algunas imágenes con software popular como Apache Tomcat y Jenkins tenían malware, lo que destaca la importancia de usar dichas herramientas de plataforma solo a partir de las imágenes mantenidas oficialmente. Vale la pena señalar aquí que el análisis de Rezilion en febrero de 2020 concluyó que el 50% de las vulnerabilidades en las 20 imágenes de contenedores más populares, de sus mantenedores oficiales, no representaban una amenaza significativa.

Varios estudios a lo largo de los años han observado el creciente número y alcance de vulnerabilidades en repositorios públicos como Docker Hub. Un estudio de 2015 encontró que el 30% de las imágenes oficiales (analizadas estáticamente) tenían vulnerabilidades de alta prioridad. A principios de 2020, un equipo académico concluyó que “el número de vulnerabilidades recientemente introducidas en Docker Hub está aumentando rápidamente” y “las imágenes certificadas son las más vulnerables”, según un estudio de 2500 imágenes de Docker Hub. Otro documento [PDF] publicado a principios de este año probó alrededor de 2,2 millones de imágenes de Docker Hub y descubrió que hay vulnerabilidades graves de CVE presentes en alrededor del 30% de las imágenes oficiales. Se encontró que el número de vulnerabilidades era mucho mayor en las imágenes mantenidas por la comunidad.

La facilidad de empujar y extraer imágenes hacia y desde Docker Hub, al tiempo que facilita la vida de los desarrolladores, también ha facilitado que los actores maliciosos propaguen malware. Muchas plataformas en la nube como GCP, AWS y Azure tienen un escaneo de vulnerabilidad de imagen integrado. Docker Hub tiene una herramienta de escaneo que utiliza el motor de análisis de Snyk. Las herramientas de código abierto en este espacio incluyen Clair y grype. Se puede encontrar una base de datos de búsqueda de todas las imágenes maliciosas del estudio en https://malware.prevasio.com/. El informe completo está disponible en formato PDF.

Autor / Redactor / Director