The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.06.2018 13:19  Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

В каталоге Docker Hub выявлено 17 образов контейнеров, которые содержали бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.

В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно настроенные системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.

Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения о проблеме.

Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры остаются активными, поэтому администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.

  1. Главная ссылка к новости (https://kromtech.com/blog/secu...)
  2. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  3. OpenNews: Незащищённый хост компании Tesla был использован для майнинга криптовалюты
  4. OpenNews: В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты
  5. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  6. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: docker, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.3, Аноним, 13:55, 14/06/2018 [ответить] [смотреть все]    [к модератору]
  • +3 +/
    Было бы полезно написать какие именно образы содержали вредоносный код.
     
     
  • 2.4, Аноним, 14:13, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +2 +/
    Я так понял, все, которые от этого пользователя Но мне так-то пофигу Я этим ... весь текст скрыт [показать] [показать ветку]
     
  • 2.5, Michael Shigorin, 14:15, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В смысле на что юзер клюёт так-то аккаунт, баловавшийся рыбалкой, указан ... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, Аноним, 16:57, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Кому полезно? Хипстерам в кедах на босую ногу?
     
     
  • 3.19, Аноним, 18:21, 14/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Какое отношение имеет Docker к Кедам?
     
  • 3.22, хыпстэр, 19:24, 14/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    и вовсе не на босу ногу, это у нас low profile носочки.
     
  • 2.18, Sage, 18:08, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Они все вредоносные :)
     
  • 1.7, Аноним, 14:39, 14/06/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Бэкдоры в контейнере? Докер не имеет изоляции?
     
     
  • 2.9, iPony, 14:53, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Имеет Но есть возможность создать образ с сетью - в чём проблема, и с прокинуты... весь текст скрыт [показать] [показать ветку]
     
  • 2.23, пох, 19:29, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    он ее довольно так себе умеет, но тут другая тема - бэкдор _в_виде_ контейнера -... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Дмитрий, 04:30, 15/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Он её умеет настолько, насколько её умеет ядро линукс ... весь текст скрыт [показать]
     
     
  • 4.44, Michael Shigorin, 12:16, 15/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Точнее, lxc Потому что ядро линукс в варианте ovz умеет изоляцию контейнеров _... весь текст скрыт [показать]
     
     
  • 5.47, Subcreator, 01:23, 16/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Точнее, lxc.  Потому что ядро линукс в варианте ovz...

    Ага, сравнили гомно (docker) с мусором (ovz... да, ядро до сих пор 2.х) и конфеткой (lxc)

     
  • 2.46, Аноним, 19:01, 15/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Изоляция докера не предназначена для защиты от её обхода, она там сделана по при... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 14:50, 14/06/2018 [ответить] [смотреть все]     [к модератору]  
  • –6 +/
    Само собой нельзя досконально проверить каждый заливаемый образ на таком массово... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 15:53, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    На ДоцкерХуб кто угодно может заливать какие угодно образы, а в репозиторий дист... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 16:33, 14/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    После того так тот намайнит 70к зелени. А потом он сменит ник и продолжит...
     
     
  • 4.31, axredneck, 20:35, 14/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    и ему сначала придется заработать репутацию, прежде чем стать мэйнтэйнером ... весь текст скрыт [показать]
     
  • 4.36, Аноним, 23:01, 14/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    слюший, зачэм смэнит Я тех ник заранее сто штук зарегил ... весь текст скрыт [показать]
     
  • 2.39, Led, 00:58, 15/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Ответственность - на не предохранявшихся родителях хипстерков ... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Аноним, 15:07, 14/06/2018 [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Хотел написать, что docker - гoвнo А потом подумал по сути то проблема любого... весь текст скрыт [показать]
     
     
  • 2.24, пох, 19:30, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    который собирал незнамокто, известный только ником и много таких сервисов а, ... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, нету, 15:57, 14/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    контейнерные хипстеры по всему миру одновременно расплескали свои смузи и теперь заняты промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные г...вноподелки проверить
     
     
  • 2.25, пох, 19:31, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    свои они хоть обпроверяются - это кого надо были поделки, он проверил - монетки ... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, П, 17:50, 14/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    RPM Based можно проверить командой внутри контейнера, чтобы выявить подмёненные штатные пакеты:
    rpm -Va
     
  • 1.17, Sw00p aka Jerom, 17:54, 14/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    помойка очередная
     
  • 1.20, Аноним, 18:23, 14/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Блобы - зло. Если нужны контейнеры, собирайте их сами.
     
     
  • 2.26, пох, 19:31, 14/06/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    может еще и солнце вручную закатывать самим ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.27, Аноним, 19:34, 14/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Конечно. Как и пересборку мира.
     
     
  • 4.29, пох, 20:25, 14/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    это уже даже у bsd немодно Жечь гигаватты, героически пересобирая те же байтик... весь текст скрыт [показать]
     
     
  • 5.32, мы, 21:37, 14/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    и то верно, лучше монеро помайнить
     
     
  • 6.37, Аноним, 23:02, 14/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну да, эффект в общем-то тот же, но хоть кому-то денег упало на карман кстати, ... весь текст скрыт [показать]
     
     
  • 7.40, Led, 01:01, 15/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так и дойная хипстота ещё не вымерла ... весь текст скрыт [показать]
     
  • 5.33, mickvav, 22:13, 14/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Для тех, кому лень жечь гигаваты, но и хочется уверенности в сборке - есть ccach... весь текст скрыт [показать]
     
  • 3.28, YetAnotherOnanym, 20:08, 14/06/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ты промискуитет с разнообразием не путай Слепить контейнер from scratch - в э... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 22:28, 14/06/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Ты промискуитет с разнообразием не путай.

    промискуитет это подмножество.

     
  • 1.45, proninyaroslav, 17:16, 15/06/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Давно было ясно что докер и ему подобные контейнеры только привнесут вирей.
     
  • 1.48, Аноним, 17:41, 17/06/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Шок Паника Если позволять запускать на своих хостах незнамо что, то враги могу... весь текст скрыт [показать]
     
  • 1.49, Аноним, 22:59, 17/06/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    И ещё сотни не удалены Когда же до народа дойдёт что если распространяются бина... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor