Docker, Inc.
Det er nå bekreftet at teamet til Docker måtte trekke 17 forskjellige containerbilder som hadde farlige bakdører lagret inne i seg. Disse bakdørene hadde blitt brukt til å installere ting som hacket kryptovaluta-gruveprogramvare og omvendte skall på servere i omtrent det siste året. Nye Docker-bilder går ikke gjennom noen form for sikkerhetsrevisjonsprosess, så de ble oppført på Docker Hub så snart de ble lagt ut i mai 2017.
Alle bildefilene ble lastet opp av en enkelt person eller gruppe som opererte under håndtaket av docker123321, som er knyttet til et register som ble renset 10. mai i år. Noen få pakker ble installert over en million ganger, selv om dette ikke nødvendigvis betyr at de faktisk hadde infisert så mange maskiner. Ikke alle bakdører kan noen gang ha blitt aktivert, og brukere kan ha installert dem mer enn en gang eller plassert dem på forskjellige typer virtualiserte servere.
Både Docker og Kubernetes, som er et program for å administrere Docker-bildedistribusjoner i stor skala, begynte å vise uregelmessige aktiviteter allerede i september 2017, men bildene ble bare trukket relativt nylig. Brukere rapporterte uvanlige hendelser på skyservere, og rapporter ble lagt ut på GitHub, samt en populær side om sosiale nettverk.
Linux-sikkerhetseksperter hevder at i de fleste tilfeller der angrepene faktisk var vellykkede, sa de som utførte at angrepene brukte de besmittede bildefilene til å starte en eller annen form for XMRig-programvare på utsatte servere for å bryte Monero-mynter. Dette ga angripere muligheten til å bryte Monero over $ 90 000 avhengig av gjeldende valutakurser.
Noen servere per 15. juni kan fortsatt være kompromittert. Selv om de forurensede bildene ble slettet, kan angripere ha skaffet seg en slags andre måter å manipulere en server på. Noen sikkerhetseksperter har anbefalt å tørke servere rene, og de har gått så langt at de antyder at å trekke bilder fra DockerHub uten å vite hva som er i dem, kan være en utrygg praksis for fremtiden.
De som bare noen gang har distribuert hjemmelagde bilder i Docker- og Kubernetes-miljøer, blir imidlertid ikke påvirket. Det samme gjelder de som bare noen gang har brukt sertifiserte bilder.
