Come far diventare Docker un veicolo di malware

Nel corso dell’evento Black Hat (di cui abbiamo parlato anche ieri) è stato presentato un interessante Proof Of Concept riguardante Docker.

Una qualsiasi installazione Docker che esponga le proprie API mediante protocollo TCP (default fino a qualche tempo fa, almeno sui PC Windows) è esposta a questo attacco: il codice malevolo viene eseguito all’interno della rete ed ha due caratteristiche abbastanza preoccupanti: è persistente e non rilevabile dagli strumenti di sicurezza disponibili sull’host.

Rimane inteso come il primo passo per avviare l’infezione lo debba comunque compiere lo sviluppatore di turno, andando ad eseguire (inconsapevolmente) codice javascript presente su una pagina web confezionata ad arte.

Certo è che il risultato è abbastanza definitivo: un container che funziona sull’host, condividendo la rete e permettendo all’attacker di eseguire codice arbitrario nella rete colpita.

Contromisure? Aggiornamento alle ultime versioni di docker e blocco delle porte interessate mediante firewall (in questo caso 2375).

Senza dimenticare poi la regola numero uno in assoluto: il buon senso.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Tags: ,