Death by Doki: una nueva vulnerabilidad de Docker con graves consecuencias (y qué puedes hacer al respecto)
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
En la onomatopeya japonesa, la frase «doki-doki» («"») representa el sonido de un corazón que late con fuerza... que es exactamente lo que podrían experimentar los miembros del equipo de seguridad si su servidor Docker se infecta con Doki, una nueva vulnerabilidad que proporciona una puerta trasera para la inyección de código malicioso y mucho más. Un nombre apropiado, por decir lo menos.
A medida que adoptamos una dependencia cada vez mayor de la infraestructura de nube, la necesidad de precisión y eficacia escalable de las mejores prácticas de seguridad es vital, y debe extenderse mucho más allá de lo mínimo indispensable para una implementación segura de las aplicaciones, con medidas personalizadas para la seguridad de los contenedores que se den a conocer e implementar en todo el SDLC.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a la infraestructura basada en Linux son cada vez más comunes, con el objetivo final de tener la oportunidad de abrir un cofre de botín de datos confidenciales almacenados en la nube. Ese es precisamente el objetivo de Doki, y su uso de múltiples tecnologías para no ser detectado, potente y eficaz no se parece a nada que se haya visto anteriormente en el ámbito de los problemas de seguridad basados en Docker.
¿Qué es Doki y cómo funciona?
Como es un tema común en muchas aplicaciones comprometidas, mala configuración de seguridad desempeña un papel inaceptablemente importante en la forma en que se violó el software. En el caso específico de Docker, la API de Docker Engine mal configurada ha demostrado ser beneficiosa para los atacantes. El Botnet Ngrok El robot de criptominería ha estado rastreando servidores Docker inseguros desde 2018, creando sus propios contenedores y ejecutando malware en la infraestructura de la víctima.
Doki es una versión más astuta y maliciosa de este malware, que tuvo éxito a través de la misma red de bots y expuso el mismo vector de ataque: la mala configuración de la API, que debería haberse solucionado mucho antes de cualquier implementación de código o visibilidad pública del servidor. Doki utiliza la cadena de bloques de la criptomoneda satírica favorita de todos, Dogecoin, para actuar como una puerta trasera prácticamente indetectable. Tal como está, se ha deslizado sin dejar rastro desde enero.
Básicamente, el malware abusa de una billetera blockchain para generar nombres de dominio de comando y control (C2), lo que no es nuevo en sí mismo, pero Doki proporciona una capacidad continua para la ejecución remota de código en un servidor infectado, lo que da paso a una serie de ataques dañinos basados en malware, como el ransomware y los DDoS. Es implacable, como un «dux con un hueso», por así decirlo. La buena gente de Intezer tiene un reseña completa sobre toda la amenaza y su enorme carga útil.
Detectando una ruta de Doki en el código.
El hecho de que Doki sea una puerta trasera que opera en una red blockchain descentralizada, que emplea técnicas rápidas y elusivas de escape de contenedores para cubrir las pistas, acceder a más áreas del host y seguir propagando la infección, lo convierte en una pesadilla tanto para los desarrolladores como para los equipos de seguridad.
Aun así, Doki no puede infectar un servidor Docker que tenga puertos API seguros. Configurarlos mal durante el proceso de producción es un error que puede tener consecuencias de gran alcance, pero si se trata de un malware tan complejo y contundente, se puede decir que es una solución un tanto «sencilla» para que los desarrolladores de la nube adquieran conocimientos eficaces sobre seguridad y habilidades prácticas de codificación segura.
Veamos este ejemplo de una API de Docker insegura, una en la que Doki podría encontrar una forma de entrar y empezar a difundirse:
acoplado -H tcp: //0.0.0. 0:2375
¿Puedes detectar los errores de configuración? La versión segura tiene este aspecto:
dockerd -H tcp: //0.0.0. 0:2376 --tlsverify --tlscacert=/etc/ssl/certs/ca.pem --tlscert=/etc/ssl/certs/server-cert.pem --tlskey=/etc/ssl/private/server-key.pem
En el ejemplo inseguro, la API de Docker Engine escucha en el puerto TCP 2375 y aceptará ninguna solicitud de conexión, por lo que está disponible para cualquiera que acceda al servidor Docker.
En el ejemplo seguro, la API de Docker Engine se configuró para usar la validación de certificados TLS y solo aceptará conexiones de clientes que proporcionen un certificado en el que confíe su CA.
Tenemos un conjunto completamente nuevo de desafíos gamificados para ayudar a los desarrolladores a identificar y corregir la causa principal de una infección de Doki, y tú puedes jugar a uno. aquí:
La infraestructura de nube segura es un deporte de equipo.
Configuraciones incorrectas en la nube costaron a las organizaciones la asombrosa suma de 5 billones de dólares en 2018 y 2019, lo que representa miles de millones de registros expuestos y un daño irreversible a la reputación. Para un vector de ataque que es en gran medida evitable, esta es una estadística bastante alarmante. Y pensar que medidas como supervisar y corregir los puertos expuestos (idealmente antes de la implementación), comprobar si hay contenedores desconocidos y controlar cualquier carga excesiva de los servidores podrían detener los daños que provoca algo como Doki, es un precio módico a pagar por su tranquilidad.
La conciencia de seguridad en toda la empresa es fundamental y, para cada persona involucrada en el SDLC, operar con las mejores prácticas de seguridad no es negociable. Las mejores organizaciones están comprometidas con un proceso de DevSecOps sólido, en el que la responsabilidad por la seguridad sea compartida, y tanto los desarrolladores como los profesionales de AppSec tienen los conocimientos y las herramientas necesarios para evitar que las vulnerabilidades más comunes lleguen al software y a la infraestructura vital.
¿Quiere empezar como un ingeniero de nube superpotente y consciente de la seguridad? Empieza a poner a prueba tus habilidades ahora.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.