Πάνω από 1.600 δημόσια διαθέσιμες container images του Docker Hub περιέχουν κακόβουλη συμπεριφορά. Αυτή περιλαμβάνει εξόρυξη κρυπτονομισμάτων, ενσωματωμένα μυστικά που μπορούν να χρησιμοποιηθούν ως backdoors και DNS hijackers. Ορισμένα μάλιστα έχουν ακόμη και ενσωματωμένους ανακατευθυντές ιστότοπων.
Δείτε επίσης: Amazon Web Services: Διορθώνει container escape στο hotfix Log4Shell
Το Docker Hub είναι ένα αποθετήριο βασισμένο στο cloud, στο οποίο οι χρήστες και οι συνεργάτες του Docker δημιουργούν, δοκιμάζουν, αποθηκεύουν και διανέμουν container images. Οι εικόνες αυτές που δημιουργούνται μέσω του Docker Hub, μπορούν να εκτελούνται σε οποιονδήποτε υπολογιστή έχει εγκατεστημένο το Docker.
Μία container image είναι ένα ελαφρύ, αυτόνομο, εκτελέσιμο πακέτο λογισμικού που περιλαμβάνει όλα όσα απαιτούνται για την εκτέλεση μιας εφαρμογής: κώδικα, runtime, εργαλεία συστήματος, βιβλιοθήκες συστήματος και ρυθμίσεις.
Δυστυχώς, η κατάχρηση της υπηρεσίας από κακόβουλους χρήστες έχει οδηγήσει σε πάνω από χίλιες κακές μεταφορτώσεις που θέτουν άλλους χρήστες σε κίνδυνο όταν αναπτύσσουν αυτές τις εικόνες στα δικά τους container.
Πολλοί χάκερς ανεβάζουν εικόνες με δημοφιλή ονόματα έργων σε μια προσπάθεια να ξεγελάσουν τους χρήστες και να τους κάνουν να νομίζουν ότι κατεβάζουν ένα αξιόπιστο αρχείο.
Οι ερευνητές της Sysdig εξέτασαν το πρόβλημα προκειμένου να κατανοήσουν καλύτερα την κλίμακά του. Ανέφεραν ότι βρήκαν εικόνες που διαθέτουν κακόβουλο κώδικα ή μηχανισμούς.
Δείτε ακόμα: Η Microsoft έχει διορθώσει μια ευπάθεια στα Azure Container Instances
Δεκάδες χιλιάδες εικόνες με άγνωστη κατάσταση είναι διαθέσιμες στο Docker Hub, εκτός από εκείνες που έχουν επαληθευτεί ως αξιόπιστες από το Library Project.
Οι αυτοματοποιημένοι σαρωτές της Sysdig βρήκαν 1.652 κακόβουλες εικόνες σε 250.000 μη επαληθευμένες εικόνες Linux.
Από τις 608 εικόνες κοντέινερ που αναλύθηκαν, πολλές από αυτές ήταν κρυπτο-εκμεταλλευτές που απειλούσαν τους πόρους του διακομιστή προκειμένου να εξορύξουν κρυπτονόμισμα για παράνομους φορείς.
Οι εικόνες που περιέχουν κρυμμένα μυστικά κατατάσσονται στη δεύτερη θέση, με 281 περιπτώσεις. Τα μυστικά που ενσωματώνονται σε αυτές τις εικόνες είναι κλειδιά SSH, διαπιστευτήρια AWS, κουπόνια GitHub, κουπόνια NPM.
Η Sysdig αναφέρει ότι τα μυστικά μπορεί να έχουν αφεθεί σε δημόσιες εικόνες εσκεμμένα ή κατά λάθος, πράγμα που σημαίνει ότι ένας δράστης θα μπορούσε να τα έχει δημιουργήσει και ανεβάσει.
Το 2022, η Sysdig προειδοποιεί ότι το 61% όλων των εικόνων που λαμβάνονται από το Docker Hub προέρχονται από δημόσια αποθετήρια, δηλαδή 15% αύξηση σε σχέση με τα στατιστικά στοιχεία του 2021. Έτσι, ο κίνδυνος για τους χρήστες γίνεται όλο και μεγαλύτερος.
Δείτε επίσης: Microsoft Github: Διαρροή 500GB δεδομένων από τα ιδιωτικά αποθετήρια της εταιρείας
Οι διαχειριστές του Docker Hub δεν μπορούν να ελέγχουν όλες τις μεταφορτώσεις κάθε μέρα επειδή η δημόσια βιβλιοθήκη είναι πολύ μεγάλη, οπότε πολλές κακόβουλες εικόνες παραμένουν απαρατήρητες.
Αυτό που διαπίστωσε η Sysdig ήταν ότι οι περισσότεροι φορείς απειλών ανέβασαν αρκετές κακόβουλες εικόνες ο καθένας. Έτσι, ακόμη και αν μια επικίνδυνη εικόνα μπορεί να διαγραφεί και ο uploader να απαγορευτεί, δεν αλλάζει αισθητά το επίπεδο κινδύνου της πλατφόρμας.
