Wadah dimaksudkan untuk tidak dapat diubah. Setelah gambar dibuat, itu adalah apa adanya, dan semua instance wadah yang dihasilkan darinya akan identik. Wadah didefinisikan sebagai kode, sehingga konten, maksud, dan dependensinya eksplisit. Karena itu, jika digunakan dengan hati-hati, wadah dapat membantu mengurangi risiko rantai pasokan.
Namun, manfaat ini tidak luput dari perhatian para penyerang. Sejumlah pelaku ancaman telah mulai memanfaatkan kontainer untuk menyebarkan muatan berbahaya dan bahkan meningkatkan operasi mereka sendiri. Untuk Sysdig 2022 Cloud-Native Threat Report, Sysdig Threat Research Team (Sysdig TRT) menyelidiki apa yang sebenarnya bersembunyi di wadah yang tersedia untuk umum.
Registrasi publik: Pedang bermata dua
Docker Hub adalah penampung penampung terbuka gratis yang paling populer. Ini menampung jutaan gambar kontainer pra-dibuat dalam paket mandiri yang nyaman dengan semua perangkat lunak yang diperlukan diinstal dan dikonfigurasi. Registri publik juga menghosting konten dan gambar resmi yang ditandatangani oleh Penerbit Terverifikasi, yang menambahkan beberapa tingkat kepercayaan bahwa mereka tidak berbahaya dan dapat digunakan dengan aman. Meskipun pendaftar publik menghemat waktu pengembang, jika pengguna tidak berhati-hati, mungkin ada aspek berbahaya pada penampung yang mereka tarik. Dengan begitu banyak wadah untuk dipilih, mudah untuk memilih yang salah.
Pelaku ancaman juga menghargai seberapa banyak gesekan yang dihilangkan teknologi ini dari alur kerja pengembang. Mereka mengandalkan fakta bahwa banyak pengembang mungkin tidak memeriksa apa yang sebenarnya sedang diinstal. Menurut laporan ancaman Sysdig, DockerHub digunakan oleh pelaku jahat untuk mengirimkan malware, backdoor, dan kejutan tak diinginkan lainnya kepada pengguna dan perusahaan. Salah satu praktik khusus yang harus diwaspadai adalah kesalahan ketik, yaitu saat gambar disamarkan sebagai sah sambil menyembunyikan sesuatu yang jahat di dalam lapisannya. Namanya bisa saja hanya huruf kecil dari yang asli, atau penyerang mungkin mengandalkan pengembang yang dengan sembarangan menyalin beberapa instruksi yang berisi jalur yang buruk.
Sysdig TRT menemukan gambar yang dibagikan oleh pengguna yang mencurigakan dengan nama yang muncul sebagai perangkat lunak open source populer untuk mengelabui pengguna. Misalnya, paket populer seperti Drupal dan Joomla memiliki nama yang digunakan untuk menyamarkan muatan berbahaya. Menyebarkan gambar-gambar ini berarti membuka pintu lingkungan kita bagi penyerang, membiarkan mereka mengejar tujuan mereka atau bergerak secara internal ke aset penting bisnis.
Apa yang sebenarnya ada di dalam wadah?
Sysdig TRT menganalisis lebih dari 250.000 gambar Linux selama beberapa bulan. Selama penelitian, 1.777 gambar ditemukan mengandung berbagai jenis IP atau domain berbahaya dan kredensial yang disematkan.
Setelah melihat lebih dekat, kami melihat bahwa gambar cryptomining adalah jenis gambar berbahaya yang paling umum. Ini sangat diharapkan karena menambang cryptocurrency pada sumber daya komputasi orang lain adalah jenis serangan paling umum yang menargetkan lingkungan cloud dan container saat ini.
Rahasia yang disematkan dalam gambar Docker adalah teknik serangan paling umum kedua. Dalam hal ini, penyerang menyisipkan rahasia dalam gambar dan menggunakan informasi ini untuk mendapatkan pijakan di lingkungan Anda dan kemudian mencoba bergerak ke samping. Misalnya, kunci SSH dapat ditambahkan, yang memungkinkan akses jarak jauh sederhana atau kunci AWS dapat ditambahkan untuk memberi mereka kemampuan cloud. Ini menyoroti tantangan yang terus-menerus dari manajemen rahasia yang masih merupakan pertempuran yang harus kita menangkan.
Kesimpulan
Gambar kontainer hanyalah aset perangkat lunak lain yang memerlukan kontrol keamanan yang tepat. Kontainer yang bersumber dari luar harus diperiksa secara menyeluruh sebelum digunakan oleh organisasi Anda, baik dalam produksi atau pada mesin pengembang. Alat yang memindai gambar kontainer sebelum memuat dapat membantu karena mereka akan memeriksa lapisan dan mencari kerentanan dan malware.
Analisis statis saja tidak cukup. Analisis dinamis adalah satu-satunya cara nyata untuk mengetahui apa yang terjadi setelah penampung itu berjalan. Di sinilah alat deteksi dan respons ancaman berperan dalam melindungi beban kerja cloud. Alat seperti Falco, proyek sumber terbuka CNCF, akan melihat bagaimana wadah berperilaku dan memperingatkan atau secara otomatis merespons dengan berbagai tindakan jika perilaku itu mencurigakan.
Kontainer di sini untuk tinggal di rantai pasokan. Bahkan, adopsi mereka terus meningkat. Organisasi harus memahami risiko yang dapat ditimbulkan oleh gambar yang dibuat sebelumnya. Cryptominers bisa menjadi sangat mahal dengan sangat cepat, dan backdoors dapat menyebabkan kompromi seluruh infrastruktur Anda. Semua orang menyukai wadah. Penyerang juga menyukai wadah.
Kredit Gambar: Sadik Gulec / Shutterstock
Stefano Chierici adalah Manajer Utama Riset Ancaman di Sysdig.
