‘De graves risques sont posés par des pirates informatiques qui profitent de serveurs d’API distants Docker mal protégés pour installer des logiciels malveillants. Trend Micro a publié une édition le 21 octobre qui détaille comment un agent de menace non identifié a été vu manipulant des serveurs d’API distants Docker ouverts pour initier le logiciel malveillant ‘perfctl’. Ce danger imminent a été déclaré « critique » et une action urgente de la part des organisations a été fortement recommandée par les chercheurs.
Le schéma d’attaque constaté dans ces instances commence par le pirate informatique notant l’existence d’un serveur d’API distant Docker qui est susceptible d’être violé. Le pirate procède ensuite à la fabrication d’un conteneur Docker, le nommant astucieusement pour imiter un conteneur authentique. Le pirate ajuste ensuite les paramètres de ce conteneur pour qu’il fonctionne en mode privilégié. Le pirate utilise l’ID de processus ‘host’, permettant au conteneur Docker de partager le même espace de noms PID que le système hôte.
En exécutant ce mouvement, les processus se produisant à l’intérieur du conteneur Docker établi par le pirate partageraient simultanément le même espace de noms PID que ceux se produisant sur l’hôte. Le résultat de ceci est que tous les processus se produisant à l’intérieur du conteneur du pirate gagneront la capacité d’observer et d’interagir avec tous les processus se déroulant sur le système hôte, fonctionnant exactement comme tout autre processus en cours d’exécution le ferait comme s’ils fonctionnaient directement sur l’hôte, a expliqué le rapport.’