In un post precedente della nostra serie di blog DevSecOps, abbiamo parlato del potenziale malware presente nel codice sorgente e negli artefatti di compilazione e di come i team possono proteggere la loro pipeline di compilazione del software utilizzando MetaDefender per Jenkins. Continuando il tema della sicurezza DevOps, in questo blog dimostrerò come utilizzare MetaDefender per Jenkins per rilevare malware e vulnerabilità nelle immagini Docker.
Infrastrutture Container : Superficie in espansione per gli attacchi alla Supply Chain
I microservizi e i container hanno registrato un'enorme crescita. Grazie alla sua natura leggera e veloce da implementare, la tecnologia dei container continuerà ad espandersi in futuro. Tuttavia, il più delle volte i container ospitano anche software obsoleto e vulnerabile. I malintenzionati hanno sfruttato questa piattaforma di autocostruzione per creare campagne di attacco alla supply chain, mettendo a rischio le organizzazioni bersaglio e le parti associate.
Un'analisi di 4 milioni di immagini pubbliche su Docker Hub ha rivelato i rischi non visibili dei container. La metà di queste immagini (51%) conteneva almeno una vulnerabilità critica e il 13% vulnerabilità ad alta gravità. Più di 6.400 immagini sono state considerate dannose in quanto contenenti minatori di criptovaluta, pacchetti Node Package Manager (NPM) dannosi, strumenti di hacking e malware.
In un altro evento, gli aggressori hanno utilizzato immagini Docker per il cryptomining. Cinque immagini dannose sono state estratte più di 120.000 volte nel 2021. La campagna prevedeva il typosquatting, una tecnica di offuscamento che utilizza titoli errati o fuorvianti come "openjdk" e "golang" al posto delle immagini ufficiali "OpenJDK" e "Golang" in Docker Hub. L'intento era quello di indurre la vittima a innescare il binario xmrig, un cryptominer Monero che può essere utilizzato per dirottare le risorse delle organizzazioni.
Docker è una delle piattaforme di containerizzazione più popolari, adottata da 7 milioni di utenti, con 7 milioni di repository e 242 miliardi di pull creati nel 2020. È giunto il momento che le organizzazioni considerino seriamente la protezione delle infrastrutture di container come una delle loro best practice di cybersecurity.
Superare i rischi nelle immagini Docker
L'approccio migliore per evitare l'estrazione accidentale di immagini illegittime è quello di adottare il modello di sicurezza zero-trust. Tutti i file devono essere considerati come potenziali rischi e sottoposti a una scansione approfondita per individuare le minacce in primo luogo.
Un modo per farlo è uno strumento di scansione delle vulnerabilità come Docker Scan nativo o un'alternativa simile. Ma se non si dispone di tali soluzioni, è possibile salvare l'immagine Docker come file di archivio e inviarla a un servizio di analisi.
Un altro metodo semplice consiste nell'analizzare le immagini Docker con il plugin MetaDefender for Jenkins.
Rilevare malware e vulnerabilità con MetaDefender per Jenkins
Come primo passo, ho creato una configurazione di build scan con un passo di build da riga di comando, come indicato di seguito. La compilazione controlla un'immagine Docker e la salva come file TAR. A scopo dimostrativo, ho usato un'immagine Docker che conteneva un file EICAR.
Poi ho aggiunto un passo di compilazione per scansionare l'immagine salvata con MetaDefender Core , quindi ho avviato la compilazione.
Non appena la compilazione è stata completata, MetaDefender ha rilevato un malware nell'immagine Docker.
Ho cliccato sull'URL per visualizzare i risultati dettagliati in MetaDefender Core .
Per la dimostrazione completa, vedere questo video:
Informazioni su OPSWAT MetaDefender per Jenkins
OPSWAT MetaDefender per Jenkins aiuta le organizzazioni a proteggere il ciclo di vita dello sviluppo Software (SDLC). Il plugin controlla le build alla ricerca di malware e segreti prima di rilasciare l'applicazione al pubblico, per prevenire gli attacchi alle catene di fornitura del software. MetaDefender for Jenkins si avvale di tutte le funzionalità della piattaforma MetaDefender , compreso Metascan, Deep CDR, Proactive DLPe Vulnerability Assessment - per analizzare tutto il codice sorgente, gli artefatti e le dipendenze alla ricerca di minacce e vulnerabilità. Per saperne di più su MetaDefender per Jenkins e sugli altri strumenti gratuitiOPSWAT .
Per ulteriori informazioni, contattate i nostri esperti di cybersecurity.
