Angriffe auf Docker über Container Escapes

Originalartikel von Alfredo Oliveira, David Fiser

Immer mehr Unternehmen setzen auf die Microservice-Architektur. Auch zeigt eine Umfrage von 2019, dass 89% der Technologieführer den Einsatz von Microservices für unerlässlich halten, um in der digitalen Welt wettbewerbsfähig zu bleiben. Doch mit der steigenden Zahl der Container On-premise und in Cloud-Diensten könnten kritische Daten aufgrund von Fehlern in der Sicherheit versehentlich exponiert und so zu einem interessanten Ziel für Bedrohungsakteure werden. Die Sicherheitsforscher beobachten laufend Angriffe auf falsch konfigurierte Dienste, wie z. B. Attacken mit Krypto-Mining-Malware, die in exponierten Redis-Instanzen und als bösartige Container mit einem von der Community bereitgestellten Container-Image auf Docker Hub verteilt werden.

Trend Micros Sicherheitsforscher identifizierten einen solchen Angriff, bei dem Krypto-Mining Malware versuchte, andere bestehende Krypto-Miner in infizierten Linux-Systemen zu finden und zu vernichten, um ihre eigene Rechenleistung zu maximieren. Dieser Angriff demonstrierte auch die Vertrautheit der böswilligen Akteure mit Docker und Redis, wenn die Malware nach offenen Anwendungsprogrammierschnittstellen (APIs) in diesen Plattformen sucht. Derzeit finden sie jedoch etwas völlig anderes – eine Payload, die speziell dafür entwickelt wurde, aus privilegierten Containern mit allen Root-Funktionen eines Host-Rechners auszubrechen (Escape). Die Nutzung von Docker bedeutet aber nicht automatisch, dass die Container eines Benutzers alle privilegiert sind, im Gegenteil, die große Mehrheit der Nutzer verwendet keine privilegierten Container.

Im Juli 2019 tweatete Felix Wilhelm vom Google Security Team einen Proof of Concept (PoC), der zeigte, wie „trivial“ es sein kann, aus einem privilegierten Docker-Container oder einen Kubernetes-Pod unter Missbrauch der cgroups release_agent-Funktion auszubrechen. Das Trend Micro-Team entdeckte kürzlich einen Angriff auf einen Container, der mit demselben Ansatz versuchte, aus der Honeypot-Umgebung auszubrechen.

Bild 1. Angriffsablauf über den Missbrauch eines privilegierten Docker Containers

Technische Einzelheiten liefert der Originalbeitrag.

Reicht das Scannen auf Schwachstellen aus?

Ein wichtiger Prozess, der dazu beiträgt, die Sicherheit eines Container-Images zu gewährleisten, ist das Scannen auf Schwachstellen – aber das sollte nicht alles sein, was zur Sicherung von Containern getan wírd. Sicherheitsteams sollten Container-Images auch regelmäßig auf Malware und Exploit-Dateien scannen.

Bei diesem speziellen Angriff ist die nginx-Binärdatei ein den Trend Micro-Bedrohungsdaten und Lösungen bekanntes Muster, weshalb die Anti-Malware-Engine es sofort erkannt hat. Es ist ein Mythos, dass Linux-basierte Betriebssysteme immun gegen Bedrohungen und Risiken wie diese sind. Wie kürzlich bereits erörtert, haben böswillige Akteure Linux als lukratives Ziel ins Visier genommen, da immer mehr Unternehmen und Organisationen in die Cloud wechseln und Linux in ihren kritischen Geschäftsabläufen einsetzen.

Fazit

Böswillige Akteure haben es auf beliebte DevOps-Technologien abgesehen und finden neue Wege für Angriffe auf Container und Cloud-Umgebungen.

Die meisten der früher analysierten Samples enthielten keine Sicherheitsüberprüfungen. Die Angreifer schienen alles auszuprobieren und dann zu sehen, was funktioniert.

Heute  verfeinern die Kriminellen ihre Techniken immer mehr. Sie implementieren derzeit Sicherheitsprüfungen, um zu versuchen, eine schlechte Implementierung auszunutzen und aus dem Container auf den Host zu gelangen oder einen Kryptowährungs-Miner einzusetzen und von den Ressourcen ihrer Opfer zu profitieren.

Trend Micro-Lösungen

Trend Micro™ Cloud One™ ist eine Plattform von Security-Diensten für Unternehmen, die Anwendungen in der Cloud entwickeln. Sie bietet automatisierten Schutz bei der Cloud-Migration, der Entwicklung Cloud-nativer Applikationen und dem Cloud-Betrieb. Auch unterstützt die Lösung dabei, Sicherheitsprobleme schneller festzustellen und zu lösen. Dazu gehören die folgenden Module:

Der Originalbeitrag beinhaltet auch eine Liste der Indicators of compromise (IoCs)

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.