在针对Kubernetes环境的攻击行动当中,骇客最常用来传送恶意程式的方式,就是借由映像档储存库Docker Hub,透过拉取恶意Docker映像档来进行,但如今有另一批人马透过完全不同的角度来滥用此映像档储存库。
资安业者JFrog揭露最新一波攻击行动,并指出其共通点,就是骇客建立的储存库都没有Docker映像档。
【攻击与威胁】
资安业者JFrog揭露滥用映像档储存库Docker Hub的攻击行动,就属于这种例子。研究人员发现这波攻击行动的原因,在于他们找到近460万个并未包含Docker映像档的储存库,研究人员进一步清查,结果发约有281万个被用于攻击行动,占全部的18.7%,换言之,平均每6个Docker Hub储存库就有1个被用于恶意行为。
这些遭到滥用的Docker Hub储存库,大致上攻击者将其用于3种类型的攻击,其中大部分是被用于声称提供盗版软体、游戏作弊程式下载器(Downloader)的恶意软体攻击,有1,453,228个,占整体储存库的9.7%;其次是佯称提供电子书的网路钓鱼攻击(eBook Phishing),有1,069,160个储存库被用来从事这类攻击,占整体的7.1%。
研究人员指出,此恶意软体还能透过零点击攻击的能力,借由网路边际设备撷取使用者及装置的资料,并会透过被动的状态嗅探封包,而且只有在符合骇客事先定义的环境条件下,才会启动进行相关工作。Cuttlefish采用的封包探测器主要功能,就是在挖掘身分验证资料,特别针对公有云服务而来。
专精AI应用程式安全的资安业者HiddenLayer指出,程式语言R存在高风险漏洞CVE-2024-27322,此为反序列化(deserialization)瑕疵,可透过载入R资料序列(R Data Serialization,RDS)档案、R套件来触发,一旦攻击者利用上述漏洞,就有机会执行任意程式码,甚至有机会造成供应链攻击,CVSS风险评分为8.8。对此,开发团队推出4.4.0版予以修补。
研究人员表示,这项漏洞牵涉R程式序列化及反序列化的过程。该程式语言在反序列化状态下,载入RDS档案或是套件时,因R语言支援惰性求值(Lazy Evaluation)的特性,未能及时检查Promise物件相关参数造成。一旦攻击者能覆写RDX或RDB档案,就机有会发动供应链攻击。
其他漏洞与修补
这项法案要求物联网装置制造商必须遵守最低要求,除不得采用容易猜到的密码,也明定要提供客户窗口来受理及处理资安问题,再者,该法案也要求制造商及零售业者,必须公布产品能够收到重要安全更新的最短时间。