Posté le juin 27, 2020 à 18:00
UN LOGICIEL MALVEILLANT DDOS INFECTE LES SERVEURS DOCKER DANS DES ATTAQUES INHABITUELLES
Des logiciels malveillants de minage de cryptomonnaie ont continuellement ciblé les serveurs Docker mal configurés et laissés vulnérables en ligne. Cette vulnérabilité a permis aux cybercriminels de récolter d’énormes profits en détournant les ressources cloud de leurs victimes.
Mais dans un rapport publié récemment, les chercheurs en sécurité de Trend Micro ont découvert ce qui semble être la première succession d’attaques persistantes et organisées contre des serveurs Docker infectant des clusters mal configurés avec des logiciels malveillants DDoS.
Les botnets Kaiji et XORDDoS sont à l’origine de l’attaque
Selon les révélations de l’équipe de sécurité de Trend Micro, les deux botnets découverts exécutent des versions de logiciels malveillants Kaiji et XORDDoS. Les deux types de logiciels malveillants sont connus pour leurs attaques, en particulier le XORDDoS qui est utilisé dans la nature depuis plusieurs années. D’autres chercheurs en sécurité ont déjà fait état des activités du botnet dans d’autres rapports antérieurs.
Mais les activités passées des deux botnets se limitaient à cibler les appareils intelligents et les routeurs. Ils n’ont pas été vus s’engager dans des systèmes en nuage plus complexes et techniques tels que les clusters Docker.
Selon les experts en sécurité de Radware, Pascal Geenens, Kaiji et XORDDoS sont reconnus comme des botnets qui utilisent SSH et telnet pour la diffusion de leurs logiciels malveillants dans le passé. Cependant, il semble que le réseau de zombies XORDDoS s’intéresse à Docker. Selon Geenens, le nouveau moyen d’attaque du botnet augmente sa puissance. Geenens a expliqué les dangers que le botnet représente pour les serveurs Docker si les mesures de sécurité appropriées ne sont pas appliquées.
Il a également révélé que les conteneurs Docker disposent généralement de plus de ressources que les appareils IdO. Cependant, ils fonctionnent généralement dans un climat plus sûr, et il peut être presque impossible pour le conteneur de réaliser une attaque DDoS, a poursuivi Geenens.
Geeners a révélé que les caméras et les routeurs IP sont des dispositifs IdO qui offrent une perspective unique car ils ont un accès non contrôlé à l’internet. Mais ils ont moins de puissance et moins de bande passante que les conteneurs dans un environnement vulnérable.
« Les conteneurs, d’autre part, ont généralement accès à beaucoup plus de ressources en termes de mémoire, de CPU et de réseau », a-t-il déclaré.
Le chercheur a ajouté que puisque la ressource réseau peut être limitée à quelques protocoles, cela conduit à une plus petite vague de vecteurs d’attaque DDoS relayés par les deux botnets.
Mais les botnets malveillants de cryptomonnaie ne sont généralement pas affectés par ces limitations, car ils n’ont besoin que d’accéder au canal HTTPS du monde extérieur.
Geenens a répété que même avec les restrictions sur la possibilité de pirater des groupes de Dockers par des groupes de hackers DDoS, les hackers cherchent toujours à attaquer. Ils ne se soucient pas de la difficulté de mener à bien une attaque sur un cluster Docker.
Les hackers recherchent de fruits frais
De nombreux appareils IdO sont vulnérables et ont déjà été infectés. Ainsi, comme les hackers sont à la recherche de « fruits frais à cueillir », leur seule alternative est de tenter leur chance sur les serveurs Docker.
Selon Geenens, les hackers estiment qu’ils auront plus de chances de gagner en attaquant un serveur récent sans antécédents d’exploitation qu’en s’en tenant aux appareils IdO qui ont pu être récoltés. Il a déclaré que c’est la raison pour laquelle les hackers sont toujours intransigeants sur l’attaque des serveurs Docker malgré les meilleures caractéristiques de sécurité.
Les hackers spécialisés dans les attaques DDoS connaissent déjà le serveur Docker
Dans une note intéressante, Geenens a suggéré que les acteurs du DDoS pouvaient être très familiers avec le système Docker. Bien qu’il n’y ait pas eu d’incident de piratage antérieur par ces hackers sur les systèmes Docker, Geenens a suggéré que les hackers ont utilisé le système pour la gestion de l’infrastructure. En conséquence, ils ont maîtrisé un grand nombre de choses et de protocoles concernant le système, c’est pourquoi ils ont décidé de lancer une attaque.
Utiliser une bonne authentification
Geenens a également réitéré que, bien qu’il ne dispose pas de preuves, il pense que tout comme les applications légitimes profitent de l’agilité et de l’automatisation de Docker, les applications illégales auront également des avantages similaires.
Et l’interface de gestion (API) est la source la plus courante de piratage informatique lorsqu’elle est laissée exposée en ligne sans aucune protection par pare-feu ni authentification. Geenens conseille donc aux utilisateurs de veiller à utiliser un protocole d’authentification sécurisé pour assurer la sécurité de leur système.
