Brève : Attaques Docker et Kubernetes

Date : 08 Juin 2018

Une série d’attaques visant Docker et Kubernetes (l’outil d’orchestration développé par Google pour Docker)  a été signalée en juin 2018. Les articles de presse (par exemple celui-ci de BleepingComputer.com) ont relaté cet événement en mentionnant surtout le fait qu’une série d’images Docker malveillantes avaient été retirées de « Docker Hub ».  Mais il nous semble utile pour comprendre le danger, de détailler la façon dont ces attaques se sont probablement déroulées.

Docker Hub est l’espace Cloud proposé par Docker pour stocker les images servant à lancer les conteneurs Docker. C’est l’équivalent, dans le monde Docker, de ce qu’est GitHub (si l'on considère le fait que GitHub est un espace de stockage pour le code source d'un projet). Docker Hub s’utilise avec la commande « docker pull » : celle-ci récupère sur Docker Hub l’image passée en argument, et crée sur l’ordinateur local, un conteneur correspondant à cette image. Docker Hub contient des images officielles, mais aussi des images mises à disposition par d’autres utilisateurs. 

Dans le cas des images malveillantes, le pirate a mis à disposition sur Docker Hub des images qui contenaient soit une backdoor (ouvrant un accès shell sur un port réseau prédéfini), soit des crypto-mineurs (utilisant la CPU pour générer de la crypto-monnaie).  On peut imaginer que l'attaque consiste à attendre qu'un utilisateur peu prudent utilise ces images sans savoir qu’elles sont malveillantes. Mais un autre scénario plus probable est que le pirate utilisait lui-même ces images malveillantes de la façon suivante :

  • Rechercher sur Internet des serveurs Docker ou Kubernetes mal configurés, qui autorisent l’accès à distance sans mot de passe. C’est une grosse faute de sécurité, mais visiblement cela existe sur Internet.
  • Envoyer à ces serveurs, au moyen de cet accès à distance, des commandes « Docker pull » pour lancer un conteneur supplémentaire au sein de l’infrastructure attaquée. Ce conteneur supplémentaire exécute bien sûr l’une des images malveillantes préalablement placée sur Docker Hub.

Il est probable que ces environnements mal configurés qui ont été attaqués étaient essentiellement des environnements de test, plutôt que des environnements de production. Mais l’attaque aurait quand même permis au pirate de générer un gain en crypto-monnaie de l’ordre de 90 000 dollars en un an d’activité !

 

Pour plus d’information : Rapport de Kromtech.com sur cet incident

Précedent Précedent Suivant Suivant Imprimer Imprimer