Ameaças comuns na nuvem: exploração de containers de imagem mal configurados

As organizações estão usando containers para atingir novos níveis de eficiência e escalabilidade na nuvem. No entanto, isso aumentou a complexidade da superfície de ataque que eles precisam proteger e colocou os containers na mira dos adversários.

A segurança do container começa com a imagem do container. Às vezes, os desenvolvedores usam imagens base de um registro externo para criar suas imagens. Infelizmente, essas imagens podem conter malware ou bibliotecas vulneráveis. Essa realidade torna fundamental que as organizações priorizem a avaliação de imagens como parte de sua estratégia de segurança na nuvem.

Tipos comuns de erros de configuração de imagens do container

Aqui estão alguns problemas de segurança típicos envolvendo imagens do container:

Usando uma conta do usuário root em containers

Executar um container com privilégios de root aumenta o perigo de invasores tentarem comprometer a máquina host.

Usando imagens desatualizadas, vulneráveis e com backdoor

Os invasores tirarão vantagem de imagens vulneráveis ou comprometidas, portanto, a varredura de imagens é uma defesa vital.

Usuários indesejados que fazem parte de um grupo do Docker

Se um usuário fizer parte de um grupo do Docker, é possível escalar seus privilégios para acesso root. Essa é uma posição privilegiada para um ator de ameaças.

Uso de um sinalizador privilegiado

Executar um container com um sinalizador privilegiado dá aos usuários acesso aos recursos do host, que um invasor pode abusar se o container for comprometido.

Montando arquivos ou diretórios host confidenciais no container

O Docker permite que os usuários montem os arquivos e diretórios da máquina host em containers, o que pode aumentar a superfície de ataque se os arquivos forem confidenciais.

Essas e outras configurações incorretas envolvendo Docker ou Kubernetes representam um risco significativo para as organizações, e identificá-las é um componente essencial da sua estratégia de segurança na nuvem.

Como os atores de ameaças têm como alvo os containers

Reduzir riscos exige conhecer as ameaças que sua organização enfrenta. Em ambientes de nuvem, isso inclui entender como os containers estão sendo direcionados.

Atores criminosos exploraram containers Docker configurados incorretamente. Imagens Docker são modelos usados para criar containers. Essas imagens podem ser usadas de forma independente, para que os usuários interajam diretamente com uma ferramenta ou serviço, ou como pai para outra aplicação. Devido a esse modo hierárquico, se uma imagem tiver sido modificada para conter ferramentas maliciosas, qualquer container derivado dela também será infectado.

Em 2021, a Inteligência CrowdStrike informou sobre a família de malware Doki, que usa containers como vetores de infecção inicial e como meio para tarefas paralelas de rastreio. Assim que os atores mal-intencionados obtêm acesso, eles podem abusar desses privilégios escalados para realizar um movimento lateral e, em seguida, proliferar por toda a rede. A Inteligência CrowdStrike também continuou a rastrear operações adversárias envolvendo o acesso e modificação de partes integrantes de clusters Kubernetes.

O Kubernetes é um sistema de orquestração de containers de código aberto que automatiza a implementação, escalonamento e gerenciamento de aplicações e seus recursos compartilhados associados. A equipe de investigação de ameaças CrowdStrike observou um interesse crescente dos adversários em clusters Kubernetes operando em ambientes corporativos. O framework Kubernetes é um sistema complexo que compreende várias partes integrantes, fato que abre muitas possibilidades de erros de configuração, podendo dar a um adversário acesso inicial a um componente e oportunidades de propagação lateral subsequentes que fornecerão acesso aos recursos desejados.

Como proteger seus containers

Reduzir superfícies de ataque em imagens do container (como remover ferramentas de depuração)

Para reduzir a superfície de ataque, as empresas precisam se concentrar na detecção de vulnerabilidades, malware, violações de conformidade e muito mais, desde a criação até o tempo de execução.

Executar varredura de vulnerabilidades como parte dos processos de criação e preparação de containers para o registro de containers

A varredura de vulnerabilidades permite que as empresas identifiquem problemas de segurança antes que eles possam ser explorados por invasores.

Evite usar imagens do container compartilhadas publicamente

Essas imagens podem estar desatualizadas ou vulneráveis, o que pode introduzir riscos adicionais ao seu ambiente de nuvem.

Limitar privilégios do container

Siga o princípio do privilégio mínimo para garantir que os containers não tenham permissões excessivas.

Manter a infraestrutura de nuvem segura requer cobertura de segurança em todo o pipeline de CI/CD. Ao antecipar a verificação de segurança e avaliar os containers proativamente, o CrowdStrike Cloud Security pode ajudar sua organização a reduzir riscos identificando quaisquer vulnerabilidades, malware integrado, segredos armazenados ou outros problemas de segurança antes da implementação.