Código malicioso en más de 1000 imágenes de Docker

La empresa Sysdig ha descubierto que más de mil imágenes de contenedores alojadas en el popular repositorio Docker Hub contienen código malicioso, lo que supone un gran riesgo de sufrir un ciberataque, esta información se ha hecho pública a través de un informe de la misma compañía, donde informan de que las imágenes contendrían activos maliciosos de distintos tipos como criptominers, backdoors y secuestradores de DNS.

Las imágenes de contenedores son «plantillas» con las que podemos desplegar aplicaciones de forma rápida y sencilla, sin tener que empezar desde cero ya que se reutilizan ciertas características, las imágenes se descargan desde Docker Hub, este sitio web permite a los usuarios subir y descargar estas imágenes en su biblioteca pública incluyendo imágenes oficiales por desarrolladores de software.

El proyecto de la biblioteca Docker revisa estas imágenes y verifica aquellas que considera seguras, pero muchas permanecen sin verificar. Sysdig escaneó de forma automatizada 250.000 imágenes de Linux no verificadas y encontró que 1.652 de ellas contenían elementos dañinos.

Sysdig comentó que en estas imágenes se encontraban «claves incrustadas» las cuales permiten que un atacante pueda obtener acceso después de instalar el contenedor, cargando la clave pública de un servidor remoto, lo que le permite al propietario de la clave privada correspondiente abrir una shell y ejecutar comandos a través de SSH, siendo similar a la instalación de una backdoor.

Una técnica utilizada por los atacantes para que sus imágenes maliciosas sean descargadas es darles un nombre prácticamente igual, variando algún que otro carácter, al de una imagen popular y segura. Este fenómeno se denomina typosquatting, es una estrategia popular y exitosa utilizada por los ciberatacantes en las imágenes comprometidas o versiones no oficiales de imágenes populares y de confianza con la esperanza de que los usuarios no se den cuenta y descarguen su versión fraudulenta en su lugar.

Desde Sysdig afirma que este año aumentó en torno a un 15% la cantidad de imágenes retiradas de la biblioteca pública por este tipo de incidentes. Esto no es más que un indicador de que el problema no está mas que empezando, desde Hispasec recomendamos tener especial cuidado con las imágenes que se descargan y utilizan.

Más información

https://www.techradar.com/news/over-a-thousand-docker-container-images-found-hiding-malicious-content

La entrada Código malicioso en más de 1000 imágenes de Docker se publicó primero en Una al Día.