+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

У каталозі Docker Hub виявлено 17 образів контейнерів, які містили бекдори або прихований код для майнінгу.

У каталозі Docker Hub виявлено 17 образів контейнерів, які містили бекдори або прихований код для майнінгу криптовалют

У каталозі Docker Hub виявлено 17 образів контейнерів, які містили бекдори або прихований код для майнінгу криптовалют. Перша поява шкідливих образів була зафіксована 10 місяців тому і за цей час зловмисниками під одним обліковим записом було розміщено 17 подібних образів.

У сумі шкідливі образи було завантажено понад 5 мільйонів разів, а дохід від майнінгу, судячи з стану вказаного в образах гаманця, становив 544.74 Monero (за сьогоднішнім курсом 70 тисяч доларів, станом на початок червня - 90 тисяч). Шкідливі образи в основному застосовувалися в ході атак на некоректно налаштовані системи оркестрування контейнерів (наприклад, залишення налагоджувальних обробників, що допускають неавторизований доступ до API Kubernetes через порти 10255 та 10250), після отримання доступу до яких атакуючі встановлювали свої контейнери з Docker Hub.

Звичайним користувачам Docker також рекомендується обережно ставитися до образів, пропонованих на Docker Hub, незалежно від їх популярності. Багато користувачів безтурботно ставляться до встановлення сторонніх контейнерів, не замислюючись, що їх установка мало чим відрізняється від завантаження та запуску сумнівних файлів, що виконуються, які можуть містити все що завгодно. Обліковий запис, з якого було розміщено шкідливі образи в Docker Hub, було видалено лише через 10 місяців з моменту опублікування першого повідомлення про проблему.

Незважаючи на видалення проблемних образів з Docker Hub, раніше встановлені екземпляри залишаються активними, тому адміністраторам систем на базі Docker та Kubernetes рекомендується перевірити наявність працюючих контейнерів, створених з урахуванням образів від користувача " docker123321 " . Більшість шкідливих образів були розміщені під іменами tomcat, cron та mysql (наприклад, "docker123321/mysql5"). 7 образів включали бекдор, що дозволяє отримати віддалений доступ до shell (Reverse Shell Python і Bash). Один образ містив певний SSH-ключ зловмисників. Інші 9 включали код для завантаження програми для майнінгу під виглядом зображення JPG.

 

Інші новини

Найкраща ціна