De nouvelles techniques d'attaque ciblent les systèmes "cloud-native" : les chercheurs ont découvert une utilisation accrue des portes dérobées, des rootkits et des voleurs d'identifiants

Selon un nouveau rapport de l'équipe de recherche sur les menaces Nautilus d'Aqua Security, les attaquants trouvent de nouveaux moyens de cibler les environnements cloud-native.

Si les cryptominers sont les logiciels malveillants les plus couramment observés, les chercheurs ont découvert une utilisation accrue des portes dérobées, des rootkits et des voleurs d'identifiants.

Les portes dérobées, qui permettent à un acteur de la menace d'accéder à un système à distance et sont utilisées pour établir la persistance dans l'environnement compromis, ont été rencontrées dans 54 % des attaques (en hausse de 9 % par rapport à 2020). En outre, la moitié des images de conteneurs malveillants (51 %) analysées par les chercheurs contenaient des vers, qui permettent aux attaquants d'accroître la portée de leur attaque avec un minimum d'effort (en hausse de 10 % par rapport à 2020).

Les attaquants ont également élargi leurs cibles pour inclure les environnements CI/CD et Kubernetes. En 2021, 19 % des images de conteneurs malveillantes analysées ciblaient Kubernetes, y compris les kubelets et les serveurs API, soit une hausse de 9 % par rapport à l'année précédente.

"Ces résultats soulignent la réalité selon laquelle les environnements natifs du cloud représentent désormais une cible pour les attaquants, et que les techniques sont en constante évolution", déclare Assaf Morag, responsable de l'intelligence des menaces et de l'analyse des données au sein de l'équipe Nautilus d'Aqua. "La large surface d'attaque d'un cluster Kubernetes est attrayante pour les acteurs de la menace, puis une fois qu'ils y sont, ils recherchent les fruits mûrs."

Nom : aqua-security-logo-2021-1024x294-1-1024x294.png Affichages : 952 Taille : 24,1 Ko

Le rapport montre également que les attaques de la chaîne d'approvisionnement représentent 14,3 % de l'échantillon d'images des bibliothèques d'images publiques, ce qui montre que ces attaques continuent d'être une méthode efficace pour attaquer les environnements natifs du cloud.

La vulnérabilité zero-day de Log4j a été immédiatement exploitée dans la nature. Team Nautilus a détecté de multiples techniques malveillantes utilisées pour ce faire, notamment des logiciels malveillants connus, des exécutions sans fichier, des exécutions de reverse shell et des fichiers téléchargés et exécutés depuis la mémoire.

"La principale conclusion de ce rapport est que les attaquants sont très actifs, plus que jamais, et qu'ils ciblent plus fréquemment les vulnérabilités des applications, des logiciels libres et des technologies dans le cloud", ajoute M. Morag. "Les spécialistes de la sécurité, les développeurs et les équipes DevOps doivent rechercher des solutions de sécurité spécialement conçues pour les applications natives du cloud. La mise en œuvre de mesures de sécurité proactives et préventives permettra de renforcer la sécurité et, au final, de protéger les environnements."

Source : Aqua Security

Et vous ?

Que pensez-vous de ce rapport ? le trouvez-vous pertinent ?
Les environnements natifs du cloud sont-ils plus attaqués au sein de votre organisation ?

Voir aussi :

La NSA et la CISA des États-Unis publient un guide pour renforcer la sécurité des clusters Kubernetes, en vue d'aider les entreprises à rendre leurs infrastructures plus résilientes

En l'absence de politiques efficaces de gestion des identités et des accès dans le cloud, les entreprises laissent la porte ouverte aux pirates informatiques, selon un rapport

Les attaques de type "RansomOps", qui rapportent des sommes record aux syndicats de ransomware, montent en puissance, car de plus en plus d'organisations choisissent de payer, selon Cybereason