Connect with us

Technologie

Siloscape malware un risque pour les conteneurs Windows, Kubernetes

Published

on


Un malware nouvellement identifié, surnommé Siloscape par le chercheur de menace qui l’a repéré le premier, semble être le premier malware enregistré à cibler les conteneurs Windows, et présente un risque potentiel pour les nuages d’entreprise mal configurés.

Découvert par Daniel Prizmant de l’unité de recherche Unit 42 de Palo Alto en mars 2021, Siloscape est un malware obscurci qui cible les conteneurs Windows et à partir de là, tente d’ouvrir une porte dérobée dans des clusters Kubernetes mal configurés où il exécute des conteneurs malveillants.

Prizmant a déclaré que l’émergence d’un malware ciblant les conteneurs Windows n’était pas surprenante compte tenu de l’augmentation de l’adoption du cloud au cours des dernières années. Il l’a nommé Siloscape parce que son objectif principal est d’échapper au conteneur, qui dans Windows est implémenté principalement par un silo de serveur.

Il a déclaré que compromettre un cluster Kubernetes entier était beaucoup plus dommageable qu’un seul conteneur, car il peut exécuter plusieurs applications cloud, alors qu’un seul conteneur n’en exécuterait généralement qu’un seul.

« L’attaquant peut être en mesure de voler des informations critiques telles que les noms d’utilisateur et les mots de passe, les fichiers confidentiels et internes d’une organisation ou même des bases de données entières hébergées dans le cluster. Une telle attaque pourrait même être exploitée comme une attaque de ransomware en prenant les fichiers de l’organisation en otage », a déclaré Prizmant dans un blog de divulgation récemment publié.

« Pire encore, avec les organisations qui se déplacent vers le cloud, beaucoup utilisent les clusters Kubernetes comme environnements de développement et de test, et une violation d’un tel environnement peut conduire à des attaques dévastatrices de la chaîne d’approvisionnement logicielle. »

Le logiciel malveillant fonctionne ainsi: il cible d’abord les applications cloud courantes telles que les serveurs Web et y accède via des vulnérabilités connues, utilise la technique d’échappement de conteneur Windows pour s’échapper de là pour obtenir l’exécution de code sur le nœud sous-jacent, puis tente d’abuser des informations d’identification du nœud pour se propager davantage via le cluster Kubernetes.

Il utilise ensuite le proxy Tor et un domaine .onion pour se reconnecter à son serveur de commande et de contrôle (C2) pour recevoir d’autres commandes. Au cours de ses recherches, Prizmant a également eu accès à ce serveur, où lui et l’équipe de l’Unité 42 ont trouvé des preuves de 23 victimes actives, et ont constaté que le serveur hébergeait un total de 313 utilisateurs, ce qui peut impliquer que Siloscape n’est qu’un élément d’une campagne de cyberattaques beaucoup plus large et de longue durée.

Prizmant est d’abord devenu sage aux techniques, tactiques et procédures (TTP) exploitées par Siloscape l’année dernière, lorsqu’il a présenté une technique pour s’échapper d’un nœud de conteneur Windows dans Kubernetes dans un document de recherche.

Au début, a-t-il dit, Microsoft a déclaré que ce problème n’était pas un problème car les conteneurs Windows Server ne sont pas une limite de sécurité – ergo chaque application exécutée à l’intérieur d’un tel conteneur doit être traitée comme si elle était exécutée directement sur l’hôte.

Mais après avoir pris le problème à Google, et suite à quelques allers-retours entre les deux, Microsoft a changé de tactique et a déclaré qu’une évasion d’un conteneur Windows vers un cluster Kubernetes – lorsqu’elle était exécutée sans droits d’administrateur à l’intérieur du conteneur – était en effet une vulnérabilité. De là, c’était un court saut vers la découverte de Siloscape, a-t-il dit.

Prizmant a réitéré que contrairement à la plupart des malwares cloud qui se limitent à des activités telles que le détournement de ressources ou le déni de service (DoS), Siloscape devrait être considéré comme particulièrement dangereux car il n’est pas limité à des objectifs spécifiques et peut être utilisé pour de nombreux autres types d’attaques

« Comme indiqué dans mon dernier article, les utilisateurs doivent suivre les conseils de Microsoft recommandant de ne pas utiliser de conteneurs Windows comme fonctionnalité de sécurité. Microsoft recommande d’utiliser strictement des conteneurs Hyper-V pour tout ce qui repose sur la conteneurisation comme limite de sécurité », a-t-il déclaré.

« Tout processus s’exécutant dans des conteneurs Windows Server doit être supposé avoir les mêmes privilèges que l’administrateur sur l’hôte, qui dans ce cas est le nœud Kubernetes. »Any process running in Windows Server containers should be assumed to have the same privileges as admin on the host, which in this case is the Kubernetes node. Si vous exécutez des applications dans des conteneurs Windows Server qui doivent être sécurisés, nous vous recommandons de déplacer ces applications vers des conteneurs Hyper-V.

« En outre, les administrateurs doivent s’assurer que leur cluster Kubernetes est configuré en toute sécurité. En particulier, un cluster Kubernetes sécurisé ne sera pas aussi vulnérable à ce programme malveillant spécifique que les privilèges des nœuds ne suffiront pas à créer de nouveaux déploiements. Dans ce cas, Siloscape va quitter », a-t-il ajouté.

Des informations techniques plus approfondies, y compris des indicateurs de compromission (IoCs), peuvent être trouvées sur le blog Unit 42.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance