Come far diventare Docker un veicolo di malware

by Raoul Scarazzini on

Nel corso dell'evento Black Hat (di cui abbiamo parlato anche ieri) è stato presentato un interessante Proof Of Concept riguardante Docker.

Una qualsiasi installazione Docker che esponga le proprie API mediante protocollo TCP (default fino a qualche tempo fa, almeno sui PC Windows) è esposta a questo attacco: il codice malevolo viene eseguito all'interno della rete ed ha due caratteristiche abbastanza preoccupanti: è persistente e non rilevabile dagli strumenti di sicurezza disponibili sull'host.

Rimane inteso come il primo passo per avviare l'infezione lo debba comunque compiere lo sviluppatore di turno, andando ad eseguire (inconsapevolmente) codice javascript presente su una pagina web confezionata ad arte.

Certo è che il risultato è abbastanza definitivo: un container che funziona sull'host, condividendo la rete e permettendo all'attacker di eseguire codice arbitrario nella rete colpita.

Contromisure? Aggiornamento alle ultime versioni di docker e blocco delle porte interessate mediante firewall (in questo caso 2375).

Senza dimenticare poi la regola numero uno in assoluto: il buon senso.

Leggi il contenuto originale su Mia mamma usa Linux!

Written by: Raoul Scarazzini