Le malware Siloscape représente un risque pour les conteneurs Windows, Kubernetes
4 min read
Un nouveau identifié malware, surnommé Siloscape par le chercheur en menaces qui l’a repéré pour la première fois, semble être le premier malware enregistré à cibler Conteneurs Windows, et présente un risque potentiel pour les clouds d’entreprise mal configurés.
Découvert par Daniel Prizmant de Unité 42 de Palo Alto unité de recherche en mars 2021, Siloscape est un malware obscurci qui cible les conteneurs Windows et à partir de là, tente d’ouvrir une porte dérobée dans des fichiers mal configurés. Clusters Kubernetes où il exécute des conteneurs malveillants.
Prizmant a déclaré que l’émergence d’un malware ciblant les conteneurs Windows n’était pas surprenant compte tenu de l’essor de l’adoption du cloud ces dernières années. Il l’a nommé Siloscape car son objectif principal est d’échapper au conteneur, qui dans Windows est principalement implémenté par un silo de serveur.
Il a déclaré que compromettre l’intégralité d’un cluster Kubernetes était beaucoup plus dommageable qu’un seul conteneur, car il peut exécuter plusieurs applications cloud, alors qu’un seul conteneur n’en exécuterait généralement qu’une.
« L’attaquant pourrait être en mesure de voler des informations critiques telles que des noms d’utilisateur et des mots de passe, les fichiers confidentiels et internes d’une organisation ou même des bases de données entières hébergées dans le cluster. Une telle attaque pourrait même être exploitée comme une attaque de ransomware en prenant en otage les fichiers de l’organisation », a déclaré Prizmant dans un blog de divulgation récemment publié.
« Pire encore, avec le passage des organisations au cloud, beaucoup utilisent des clusters Kubernetes comme environnements de développement et de test, et une violation d’un tel environnement peut conduire à des attaques dévastatrices de la chaîne d’approvisionnement logicielle. »
Le malware fonctionne ainsi : il cible d’abord les applications cloud courantes telles que les serveurs Web et y accède via des vulnérabilités connues, utilise la technique d’échappement de conteneur Windows pour s’échapper de là pour obtenir l’exécution de code sur le nœud sous-jacent, puis tente d’abuser des informations d’identification du nœud pour se propager plus loin via le cluster Kubernetes.
Il utilise ensuite le Proxy Tor et un domaine .onion pour se reconnecter à son commander et contrôler (C2) serveur pour recevoir d’autres commandes. Au cours de ses recherches, Prizmant a également eu accès à ce serveur, où lui et l’équipe de l’Unité 42 ont trouvé des preuves de 23 victimes actives et ont découvert que le serveur hébergeait un total de 313 utilisateurs, ce qui peut impliquer que Siloscape n’est qu’un élément d’une campagne de cyberattaques beaucoup plus vaste et de longue durée.
Prizmant s’est d’abord rendu compte des techniques, tactiques et procédures (TTP) exploitées par Siloscape l’année dernière, lorsqu’il a présenté une technique pour s’échapper d’un nœud de conteneur Windows dans Kubernetes dans un document de recherche.
Au début, a-t-il déclaré, Microsoft a déclaré que ce problème n’était pas un problème car les conteneurs Windows Server ne constituent pas une limite de sécurité. Par conséquent, chaque application exécutée dans un tel conteneur doit être traitée comme si elle était exécutée directement sur l’hôte.
Mais après avoir signalé le problème à Google et après quelques allers-retours entre les deux, Microsoft a changé de tactique et a déclaré qu’une fuite d’un conteneur Windows vers un cluster Kubernetes – lorsqu’elle était exécutée sans droits d’administrateur à l’intérieur du conteneur – était en effet une vulnérabilité. De là, ce fut un petit saut vers la découverte de Siloscape, a-t-il déclaré.
Prizmant a réitéré que contrairement à la plupart des malwares cloud qui se limitent à des activités telles que le détournement de ressources ou le déni de service (DoS), Siloscape doit être considéré comme particulièrement dangereux car il n’est pas limité à des objectifs spécifiques et peut être utilisé pour de nombreux autres types d’attaques.
« Comme discuté dans mon dernier article, les utilisateurs doivent suivre les instructions de Microsoft recommandant de ne pas utiliser de conteneurs Windows comme fonctionnalité de sécurité. Microsoft recommande d’utiliser strictement des conteneurs Hyper-V pour tout ce qui repose sur la conteneurisation comme limite de sécurité », a-t-il déclaré.
« Tout processus s’exécutant dans des conteneurs Windows Server doit être supposé avoir les mêmes privilèges que l’administrateur sur l’hôte, qui dans ce cas est le nœud Kubernetes. Si vous exécutez des applications dans des conteneurs Windows Server qui doivent être sécurisées, nous vous recommandons de déplacer ces applications vers des conteneurs Hyper-V.
« De plus, les administrateurs doivent s’assurer que leur cluster Kubernetes est configuré de manière sécurisée. En particulier, un cluster Kubernetes sécurisé ne sera pas aussi vulnérable à ce malware spécifique car les privilèges des nœuds ne suffiront pas à créer de nouveaux déploiements. Dans ce cas, Siloscape sortira », a-t-il ajouté.
Des informations techniques plus approfondies, y compris des indicateurs de compromission (IoC), peut être trouvé sur le blog de l’Unité 42.
