В каталоге Docker Hub (https://hub.docker.com/) выявлено 17 образов контейнеров, которые содержали (https://kromtech.com/blog/security-center/cryptojacking-inva...) бэкдоры или скрытый код для майнинга криптовалют. Первое появление вредоносных образов было зафиксировано 10 месяцев назад и за это время злоумышленниками под одной учётной записью было размещено 17 подобных образов.
В сумме вредоносные образы были загружено более 5 миллионов раз, а доход от майнинга, судя по состоянию указанного в образах кошелька, составил 544.74 Monero (по сегодняшнему курсу 70 тысяч долларов, по состоянию на начало июня - 90 тысяч). Вредоносные образы в основном применялись в ходе атак на некорректно (https://www.opennet.ru/opennews/art.shtml?num=48113) настроенные (https://www.opennet.ru/opennews/art.shtml?num=48329) системы оркестровки контейнеров (например, оставление отладочных обработчиков, допускающих неавторизированный доступ к API Kubernetes через порты 10255 и 10250), после получения доступа к которым атакующие устанавливали свои контейнеры с Docker Hub.
Обычным пользователям Docker также рекомендуется с осторожностью относиться к образам, предлагаемым на Docker Hub, независимо от их популярности. Многие пользователи беспечно относятся к установке сторонних контейнеров, не задумываясь, что их установка мало чем отличается от загрузки и запуска сомнительных исполняемых файлов, которые могут содержать всё что угодно. Учётная запись, с которой производилось размещение в Docker Hub вредоносных образов, была удалена только спустя 10 месяцев с момента публикации первого сообщения (https://twitter.com/jperras/status/894561761252319232) о проблеме.
Несмотря на удаление проблемных образов с Docker Hub, ранее установленные экземпляры остаются активными, поэтому администраторам систем на базе Docker и Kubernetes рекомендуется проверить наличие работающих контейнеров, созданных на базе образов от пользователя "docker123321". Большинство вредоносных образов были размещены под именами tomcat, cron и mysql (например, "docker123321/mysql5"). 7 образов включали бэкдор, позволяющий получить удалённый доступ к shell (Reverse Shell на Python и Bash). Один образ содержал предопределённый SSH-ключ злоумышленников. А остальные 9 включали код для загрузки программы для майнинга под видом изображения JPG.
URL: https://kromtech.com/blog/security-center/cryptojacking-inva...
Новость: https://www.opennet.ru/opennews/art.shtml?num=48777
Было бы полезно написать какие именно образы содержали вредоносный код.
Я так понял, все, которые от этого пользователя... Но мне так-то пофигу. Я этим не пользуюсь
> Было бы полезно написать какие именно образы содержали вредоносный код.В смысле на что юзер клюёт? (так-то аккаунт, баловавшийся рыбалкой, указан)
Кому полезно? Хипстерам в кедах на босую ногу?
Какое отношение имеет Docker к Кедам?
и вовсе не на босу ногу, это у нас low profile носочки.
Они все вредоносные :)
Бэкдоры в контейнере? Докер не имеет изоляции?
Имеет. Но есть возможность создать образ с сетью - в чём проблема, и с прокинутыми портамиhttps://docs.docker.com/config/containers/container-networking/
> Бэкдоры в контейнере? Докер не имеет изоляции?он ее довольно так себе умеет, но тут другая тема - бэкдор _в_виде_ контейнера - контейнер используется как "средство доставки бэкдора". Все как положено - автодеплой, независимость от дистрибутива хоста, может даже в swarm умеет.
То есть каким угодно способом попадаешь на хост/систему модной "охрен...оркестрации", но не запускаешь на нем немодные баш-портянки с метасплойтом, а, как честный человек (которому среди прочих all выдан доступ к докер-сокету), docker run mymonero:latest
И типа я хз что он тут делает, их тут полсотни в ps, может нужное чо.
> он ее довольно так себе умеетОн её умеет настолько, насколько её умеет ядро линукс.
>> он ее довольно так себе умеет
> Он её умеет настолько, насколько её умеет ядро линукс.Точнее, lxc. Потому что ядро линукс в варианте ovz умеет изоляцию контейнеров _гораздо_ лучше -- вот той уже можно пользоваться не только для удобства, а и ради повышения суммарной безопасности.
>Точнее, lxc. Потому что ядро линукс в варианте ovz...Ага, сравнили гомно (docker) с мусором (ovz... да, ядро до сих пор 2.х) и конфеткой (lxc)
Изоляция докера не предназначена для защиты от её обхода, она там сделана по принципу "чтобы программы не сломать, не знающие ничего о докере". На программы, знающие о докере и его ломающие защита не расчитана. Также как и на защиту от атак по сторонним каналам.
Само собой нельзя досконально проверить каждый заливаемый образ на таком массовом сервисе. Ответственность за выбор контейнера лежит на пользователе.
Все то же самое что и с репозиториями и уж точно ситуация лучше чем на винде, в которой и не может идти речи о какой-либо безопасности.
На ДоцкерХуб кто угодно может заливать какие угодно образы, а в репозиторий дистрибутива - только мейнтейнер, участник сообщества, за вредительскую деятельность которого сообщество исключит.
После того так тот намайнит 70к зелени. А потом он сменит ник и продолжит...
> А потом он сменит ник ии ему сначала придется заработать репутацию, прежде чем стать мэйнтэйнером.
> После того так тот намайнит 70к зелени. А потом он сменит ник
> и продолжит...слюший, зачэм смэнит? Я тех ник заранее сто штук зарегил.
> Ответственность за выбор контейнера лежит на пользователе.Ответственность - на не предохранявшихся родителях хипстерков.
Хотел написать, что docker - гoвнo. А потом подумал...по сути то проблема любого сервиса где есть возможность загрузить готовый контейнер/образ/пакет/etc, и даже автоматические тесты не спасут, откуда им знать что должно крутиться в этом контейнере и что для него нормальное поведение, а что нет.
> Хотел написать, что docker - гoвнo. А потом подумал...по сути то проблема
> любого сервиса где есть возможность загрузить готовый контейнер/образ/пакет/etcкоторый собирал незнамокто, известный только ником.
и много таких сервисов? (а, да, гуглеплей. Ну так...)
контейнерные хипстеры по всему миру одновременно расплескали свои смузи и теперь заняты промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные г...вноподелки проверить
> промыванием и просушиванием собственной бороды - даже некогда им свои контейнерные
> г...вноподелки проверитьсвои они хоть обпроверяются - это кого надо были поделки, он проверил - монетки майнятся, все нормально, можно в деплой.
RPM Based можно проверить командой внутри контейнера, чтобы выявить подмёненные штатные пакеты:
rpm -Va
помойка очередная
Блобы - зло. Если нужны контейнеры, собирайте их сами.
> Блобы - зло. Если нужны контейнеры, собирайте их сами.может еще и солнце вручную закатывать самим?
Конечно. Как и пересборку мира.
это уже даже у *bsd немодно. Жечь гигаватты, героически пересобирая те же байтики, которые до тебя (и ты же сам) уже миллион раз точно так же собирали? Вполне себе можно этого и не делать.К идее общей неконтролируемой свалки, собранной из непоймичего непойми кем для общего блага, это имеет примерно перпендикулярное отношение.
и то верно, лучше монеро помайнить
> и то верно, лучше монеро помайнитьну да, эффект в общем-то тот же, но хоть кому-то денег упало на карман (кстати, как-то неприлично мало по нынешним меркам)
> как-то неприлично мало по нынешним меркамТак и дойная хипстота ещё не вымерла.
Для тех, кому лень жечь гигаваты, но и хочется уверенности в сборке - есть ccache, если что.
Ты промискуитет с разнообразием не путай. Слепить контейнер "from scratch" - в этом нет ничего сложного.
> Ты промискуитет с разнообразием не путай.промискуитет это подмножество.
Давно было ясно что докер и ему подобные контейнеры только привнесут вирей.
Шок! Паника! Если позволять запускать на своих хостах незнамо что, то враги могут этим воспользоваться!
И ещё сотни не удалены. Когда же до народа дойдёт что если распространяются бинарники, то это гарантировано вредоносное ПО, и никакая изоляция, контейнеризация и виртуалки не спасут. Привет снапу и флатпаку.
Год ору об этом. И о том, что с версии 17.06 что-ли докер даже на селинукс плюёт откровенно. Установили бэкдоры? А знаете, так вам и надо, ибо поделом.