The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

14.06.2018 13:19  Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом

В каталоге Docker Hub выявлено 17 образов контейнеров, которые содержали бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.

В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно настроенные системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.

Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения о проблеме.

Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры остаются активными, поэтому администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.

  1. Главная ссылка к новости (https://kromtech.com/blog/secu...)
  2. OpenNews: В каталоге Python-пакетов PyPI выявлено 10 вредоносных библиотек
  3. OpenNews: Незащищённый хост компании Tesla был использован для майнинга криптовалюты
  4. OpenNews: В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты
  5. OpenNews: Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store
  6. OpenNews: Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: docker, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Аноним (-), 13:55, 14/06/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    Было бы полезно написать какие именно образы содержали вредоносный код.
     
     
  • 2.4, Аноним (-), 14:13, 14/06/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Я так понял, все, которые от этого пользователя... Но мне так-то пофигу. Я этим не пользуюсь
     
  • 2.5, Michael Shigorin (ok), 14:15, 14/06/2018 [^] [ответить]    [к модератору]
  • +/
    > Было бы полезно написать какие именно образы содержали вредоносный код.

    В смысле на что юзер клюёт? (так-то аккаунт, баловавшийся рыбалкой, указан)

     
  • 2.15, Аноним (-), 16:57, 14/06/2018 [^] [ответить]    [к модератору]
  • +/
    Кому полезно? Хипстерам в кедах на босую ногу?
     
     
  • 3.19, Аноним (-), 18:21, 14/06/2018 [^] [ответить]    [к модератору]
  • –2 +/
    Какое отношение имеет Docker к Кедам?
     
  • 3.22, хыпстэр (?), 19:24, 14/06/2018 [^] [ответить]    [к модератору]  
  • +10 +/
    и вовсе не на босу ногу, это у нас low profile носочки.
     
  • 2.18, Sage (??), 18:08, 14/06/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Они все вредоносные :)
     
  • 1.7, Аноним (-), 14:39, 14/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Бэкдоры в контейнере? Докер не имеет изоляции?
     
     
  • 2.9, iPony (?), 14:53, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Имеет. Но есть возможность создать образ с сетью - в чём проблема, и с прокинутыми портами

    https://docs.docker.com/config/containers/container-networking/

     
  • 2.23, пох (?), 19:29, 14/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    он ее довольно так себе умеет, но тут другая тема - бэкдор _в_виде_ контейнера -... весь текст скрыт [показать]
     
     
  • 3.41, Дмитрий (??), 04:30, 15/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > он ее довольно так себе умеет

    Он её умеет настолько, насколько её умеет ядро линукс.

     
     
  • 4.44, Michael Shigorin (ok), 12:16, 15/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Точнее, lxc Потому что ядро линукс в варианте ovz умеет изоляцию контейнеров _... весь текст скрыт [показать]
     
     
  • 5.47, Subcreator (ok), 01:23, 16/06/2018 [^] [ответить]    [к модератору]  
  • +/
    >Точнее, lxc.  Потому что ядро линукс в варианте ovz...

    Ага, сравнили гомно (docker) с мусором (ovz... да, ядро до сих пор 2.х) и конфеткой (lxc)

     
  • 2.46, Аноним (-), 19:01, 15/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Изоляция докера не предназначена для защиты от её обхода, она там сделана по при... весь текст скрыт [показать]
     
  • 1.8, Аноним (8), 14:50, 14/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –6 +/
    Само собой нельзя досконально проверить каждый заливаемый образ на таком массово... весь текст скрыт [показать]
     
     
  • 2.11, Аноним (-), 15:53, 14/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    На ДоцкерХуб кто угодно может заливать какие угодно образы, а в репозиторий дистрибутива - только мейнтейнер, участник сообщества, за вредительскую деятельность которого сообщество исключит.
     
     
  • 3.13, Аноним (-), 16:33, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    После того так тот намайнит 70к зелени. А потом он сменит ник и продолжит...
     
     
  • 4.31, axredneck (?), 20:35, 14/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > А потом он сменит ник и

    и ему сначала придется заработать репутацию, прежде чем стать мэйнтэйнером.

     
  • 4.36, Аноним (-), 23:01, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > После того так тот намайнит 70к зелени. А потом он сменит ник
    > и продолжит...

    слюший, зачэм смэнит? Я тех ник заранее сто штук зарегил.

     
  • 2.39, Led (ok), 00:58, 15/06/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    > Ответственность за выбор контейнера лежит на пользователе.

    Ответственность - на не предохранявшихся родителях хипстерков.

     
  • 1.10, Аноним (-), 15:07, 14/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Хотел написать, что docker - гoвнo А потом подумал по сути то проблема любого... весь текст скрыт [показать]
     
     
  • 2.24, пох (?), 19:30, 14/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    который собирал незнамокто, известный только ником и много таких сервисов а, ... весь текст скрыт [показать]
     
  • 1.12, нету (?), 15:57, 14/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    контейнерные хипстеры по всему миру одновременно расплескали свои смузи и теперь заняты промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные г...вноподелки проверить
     
     
  • 2.25, пох (?), 19:31, 14/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    свои они хоть обпроверяются - это кого надо были поделки, он проверил - монетки ... весь текст скрыт [показать]
     
  • 1.16, П (?), 17:50, 14/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    RPM Based можно проверить командой внутри контейнера, чтобы выявить подмёненные штатные пакеты:
    rpm -Va
     
  • 1.17, Sw00p aka Jerom (?), 17:54, 14/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    помойка очередная
     
  • 1.20, Аноним (-), 18:23, 14/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Блобы - зло. Если нужны контейнеры, собирайте их сами.
     
     
  • 2.26, пох (?), 19:31, 14/06/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    > Блобы - зло. Если нужны контейнеры, собирайте их сами.

    может еще и солнце вручную закатывать самим?

     
     
  • 3.27, Аноним (-), 19:34, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Конечно. Как и пересборку мира.
     
     
  • 4.29, пох (?), 20:25, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    это уже даже у *bsd немодно. Жечь гигаватты, героически пересобирая те же байтики, которые до тебя (и ты же сам) уже миллион раз точно так же собирали? Вполне себе можно этого и не делать.

    К идее общей неконтролируемой свалки, собранной из непоймичего непойми кем для общего блага, это имеет примерно перпендикулярное отношение.

     
     
  • 5.32, мы (?), 21:37, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    и то верно, лучше монеро помайнить
     
     
  • 6.37, Аноним (-), 23:02, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > и то верно, лучше монеро помайнить

    ну да, эффект в общем-то тот же, но хоть кому-то денег упало на карман (кстати, как-то неприлично мало по нынешним меркам)

     
     
  • 7.40, Led (ok), 01:01, 15/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > как-то неприлично мало по нынешним меркам

    Так и дойная хипстота ещё не вымерла.

     
  • 5.33, mickvav (?), 22:13, 14/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Для тех, кому лень жечь гигаваты, но и хочется уверенности в сборке - есть ccache, если что.
     
  • 3.28, YetAnotherOnanym (ok), 20:08, 14/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты промискуитет с разнообразием не путай. Слепить контейнер "from scratch" - в этом нет ничего сложного.
     
     
  • 4.34, Аноним (-), 22:28, 14/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > Ты промискуитет с разнообразием не путай.

    промискуитет это подмножество.

     
  • 1.45, proninyaroslav (ok), 17:16, 15/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Давно было ясно что докер и ему подобные контейнеры только привнесут вирей.
     
  • 1.48, Аноним (-), 17:41, 17/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Шок! Паника! Если позволять запускать на своих хостах незнамо что, то враги могут этим воспользоваться!
     
  • 1.49, Аноним (-), 22:59, 17/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    И ещё сотни не удалены Когда же до народа дойдёт что если распространяются бина... весь текст скрыт [показать]
     
  • 1.50, metakeks (?), 05:11, 20/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Год ору об этом. И о том, что с версии 17.06 что-ли докер даже на селинукс плюёт откровенно. Установили бэкдоры? А знаете, так вам и надо, ибо поделом.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor