‘Kwetsbare containerinfrastructuur binnen een uur te hacken’

Abonneer je gratis op Techzine!

Bedrijven die de security van hun containerinfrastructuur en onderliggende ontwikkeldiensten niet op orde hebben, lopen het risico binnen één uur te worden gehackt. Dit stellen de onderzoekers van Aqua Security Software in een recent onderzoek naar de kwetsbaarheid van containeromgevingen.

Hackers hebben het volgens Aqua Security Software steeds vaker voorzien op containeromgevingen en de onderliggende ontwikkelketen. Steeds vaker slagen hackers erin om zeer geavanceerde aanvallen op deze omgevingen uit te voeren met behulp van onder meer packing van payloads, malware direct vanuit het geheugen te draaien en het installeren en uitvoeren van root kits.

Veel aanvallen door botnets

Uit het onderzoek blijkt dat de aanvallen op de containeromgevingen en alle onderliggende infrastructuur snel kunnen worden uitgevoerd. Vooral door botnets. Ongeveer de helft van het aantal aanvallen op foutief geconfigureerde Docker API’s is van botnets afkomstig. Deze aanvallen hebben slechts maximaal 56 minuten nodig om hun doel te bereiken.

Aanvallen worden vooral uitgevoerd voor cryptomining. Ongeveer 90 procent van alle onderzochte aanvallen voeren een resource hijacking script uit. In 40 procent van de gevallen gaat het om het creëren van backdoors in de host-omgeving. In dit laatste geval werden deze achterdeurtjes gebruikt om toegespitste malware te ‘droppen’. Deze malware maakte vervolgens nieuwe gebruikers aan met root-privileges en creëerden SSH-sleutels voor toegang op afstand.

Ook aanvallen op CI/CD-workflows

Verder constateerden de onderzoekers van Aqua Secure Software dat ook veel aanvallen worden uitgevoerd op de onderliggende keteninfrastructuur van de containeromgevingen. Vooral als het gaat om het automatisch bouwen van ontwikkelomgevingen voor SaaS-diensten. De securityexperts geven aan dat dit echt een nieuwe aanvalsvector is die eerder nog niet werd gezien.

De securityspecialisten verwachten dat in de komende tijd meer van dit soort aanvallen worden ontdekt omdat de securitysoftware steeds meer in staat is dit soort aanvallen te herkennen. Security- en detectietools gaan zich steeds meer richten op het beschermen van het bouwproces van applicaties en containerdiensten, zoals security voor de CI/CD-workflows. Op dit moment is dit nog schaars, maar straks gemeengoed, zo geeft Aqua Security Software aan.

Tip: Palo Alto Networks gooit alle ballen op container security