neprihlásený Utorok, 9. augusta 2022, dnes má meniny Ľubomíra
Pozor na softvérové repozitáre, Docker obrazy boli infikované

Značky: bezpečnosťcloud

DSL.sk, 27.6.2018


Aktuálne bol detekovaný ďalší bezpečnostný incident, pri ktorom bol škodlivý kód šírený cez softvérové repozitáre.

V tomto prípade išlo o infikované obrazy pre virtualizačné riešenie Docker, ktoré sa nachádzali v oficiálnom repozitári Docker Hub.

Na incident upozornila najskôr v máji bezpečnostná spoločnosť Fortinet a bližšie informácie priniesla spoločnosť Kromtech vyvíjajúca aj bezpečnostné riešenia.

Docker je softvérovým riešením tzv. kontajnerovej virtualizácie na úrovni operačného systému, ktoré využíva pre virtualizáciu možnosti izolovania procesov pomocou možností linuxového jadra a umožňuje spúšťať izolovane jednotlivé softvéry a nie celé virtuálne stroje.

Obrazy takýchto softvérov je možné sťahovať z repozitára, pričom štandardným je Docker Hub. V ňom sa nachádzajú aj obrazy od tretích strán.

Infikovaných bolo podľa Kromtech 17 obrazov pod účtom docker123321, ktoré boli pridané v štyroch vlnách od júla 2017 do februára 2018. Fortinet pôvodne v máji informoval o celkovo 19 obrazoch. Obrazy podľa názvu obsahovali alebo mali obsahovať často databázový server MySQL alebo aplikačný server Tomcat. Podľa Kromtech mal účet viac ako päť miliónov stiahnutí obrazov.

Obrazy boli infikované rozličným škodlivým kódom, niektoré vytvorili shell pre útočníkov počúvajúci na sieťovom porte a veľká časť využívala počítače na ťaženie kryptomeny Monero a automaticky spúšťala ťažiaci skript.

Na adrese, na ktorú obrazy ťažili, bolo vyťažených viac ako 540 Monero, čo je pri súčasnom kurze cca 60 tisíc eur. Adresa bola podľa Fortinet evidentne využívaná aj pri iných útokoch a všetka vyťažená mena tak zrejme nepochádza z infikovaných Docker obrazov.

Zrejme nie všetky obete si obrazy stiahli samé, keď podľa komentára jednej z obetí obraz inštaloval na ich server evidentne útočník cez nie dobre zabezpečený Docker. Fortinet predpokladá, že tieto obrazy boli bežne inštalované práve takto, potvrdenie zrejme ale k dispozícii nie je.

Obrazy infikovali podľa Kromtech aj hostiteľský operačný systém inštalovaním spúšťaného príkazu v systémovom crone, spoločnosť ale detailne nerozoberá aké predpoklady to vyžaduje.

V každom prípade u softvérových repozitárov, kde môžu pridávať softvér aj tretie strany, si je samozrejme potrebné overovať kto je tvorcom predmetného softvéru a nedôverovať automaticky všetkému softvéru prípadne inštalovať len oficiálny softvér v danom repozitári.

Aspoň podľa Kromtech zároveň u Docker Hubu zrejme efektívne nefungujú opatrenia pre elimináciu respektíve nahlasovanie prípadného škodlivého softvéru, keď údajne nemá byť k dispozícii pohodlný spôsob ako ho nahlasovať. Hoci minimálne jeden užívateľ detekoval infekciu už v septembri, účet aj s obrazmi bol odstránený až v máji.


      Zdieľaj na Twitteri



Najnovšie články:

Telekom má nové balíčky pre predplatenky, zákazníci si ich ale nebudú môcť objednať
O2 oznámilo zväčšenie pokrytia 5G, úroveň pokrytia znovu neudáva
Antik pôsobiaci najmä na východe ponúka balík ukrajinských TV
Perseverance odobralo ďalšiu vzorku, je na ňom zvláštna nečistota
Intel uviedol ďalšie samostatné grafiky, nie najvýkonnejšie


inzercia



Diskusia:
                               
 

Ked pouzivam nejaky container z cudzieho docker image, tak si najprv precitam Dockerfile. Ak neexistuje, tak taky image nepouzijem.
Odpovedať Známka: 6.9 Hodnotiť:
 

bodaj by to stacilo.
Odpovedať Známka: 2.5 Hodnotiť:
 

Preco by to nemalo stacit?
Ak sa vyznas v linuxe a jeho commandoch v terminali, tak to je ako ked si kuchar precita kratky recept.
Dockerfile je tiez kratky recept, a ak spusta skodlivy kod alebo otvara porty pre SSH, tak taky nebude varit podla takeho receptu.
Odpovedať Známka: 8.0 Hodnotiť:
 

Dockerfile je ako televizny program, viete presne co kedy pojde v akom poradi na Markize, bez toho aby ste si museli zapnut TV.
Odpovedať Známka: 10.0 Hodnotiť:
 

Kedze ale Docker Hub neumoznuje naladenie a sledovanie Markizy tak je defacto cela diskusia bezpredmentna.
Odpovedať Známka: -2.9 Hodnotiť:
 

Mylite sa, Docker Hub moze hostovat Docker image ktory vytvori Docker container ktory naladi markizu a ked sa na ten kontainer napojite cez VNC tak mozte sledovat markizu z pocitaca.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ja ale nechcem pozerat Markizu z kontajnera. Ja som luxusny vonavy apple gejza, budem sledovat markizu z mekbuuciku
Odpovedať Známka: 2.0 Hodnotiť:
 

Docker hub2 by mohol umožňovať sledovanie markízy, ale kto by takú kktinu robil...
Odpovedať Známka: 5.0 Hodnotiť:
 

Lenže najprv treba modlitbu za uzdravenie mysle, potom Dekameron, modlitbu za sebaprijatie, znova modlitbu za uzdravenie mysle, aktuálne vydanie Zem a Vek a az potom Dockerfile. A samozrejme priekazne aspoň dvakrát.
Odpovedať Známka: 0.5 Hodnotiť:
 

Picovina, jedine, ze mas sam vsetko pod kontrolou, co je dnes nemozne.
Odpovedať Známka: -10.0 Hodnotiť:
 

Nieje to picovina, Dockerfile ma tak do 100 riadkov kodu cca. To sa da lahko precitat a pochopit.

Napriklad ked chces kontajnerizovat ubuntu a otvorit port 80, tak su len dva riadky.

FROM ubuntu:14.04
EXPOSE 80/tcp

Ak by pomedzi to niekto otvoril iny port, napr. SSH tak si to vsimnes ak niesi kkt.
Alebo ak niekto spusta nejake ine commandy precitas si ich a pochopis. Ak niecomu nechapes, tak to nespustaj a vytvor si vlastny Dockerfile.
Odpovedať Známka: 8.5 Hodnotiť:
 

Tak to majster, tak to pardón, ešte dáme sadrokartón. Do rohu sa skriňa oprie, a musí to byť kurva dobré.
Odpovedať Známka: 5.2 Hodnotiť:
 

ak tu niečo ako vy hovoríte musí byť dobré, tak vám chlapi musí dobre sakramensky jebať :)
Odpovedať Známka: 6.5 Hodnotiť:
 

Sice aj to, ale na druhej strane by trebalo vyzdvihnut najma synergicky efekt, hlbsie vysvetlenie niektorych vedlajsich dopadov ktoreho beznym uzivatelom by umoznilo vniest do objasnenia celeho postupu ciastocne, i na prvy pohlad z tu popisovanych rozdielov, sice priekazne vyplyvajuce, i ked mozno nie celkom zrejme vyhody, popri urcitym abstraktnym sposobom ponatia do popredia nie vzdy len pri konkretnych situaciach roznych nastaveni, s cim sa ale samozrejme nemusi kazdy vnutorne stotoznovat.
Odpovedať Známka: -2.0 Hodnotiť:
 

By default docker neobmedzuje odchadzajucu komunikaciu, iba prichadzajucu. Cize dolovanie Monero z dockerfile nevycitas.
Odpovedať Známka: -3.3 Hodnotiť:
 

ale v dockerfile by si videl ze je tam script ktory tazi kryptomenu
Odpovedať Známka: 10.0 Hodnotiť:
 

ok chuju,
akym sposobom a ako casto si Ty, osobne, auditujes docker?
mas z toho zaznamy?

a otazka za dva grose:
kolko riadkov kodu v systeme mas, ktore Ti, potencialne, mozu vyustit do bezpecnostneho alebo ineho rizika?
a ako si Ty, sam, sebe, osetril, kazde jedno riziko?

tl/dr - po vojne kazdy general, kokote.
Odpovedať Známka: -6.7 Hodnotiť:
 

neviem preco mas potrebu nadavat mi, ale tvoje otazky su aj tak mimo obzoru.
Pretoze diskusia ani clanok nieje o auditovani dockeru ani o bezpecnostnom riziku v "systeme".

Clanok a aj diskusia je o skodlivom kode ktore mali niektore docker obrazy (docker images) ktore boli hostovane na Docker Hub. Ja som iba prisiel s vysvetlenim ako toto riziko jednoducho eliminovat precitanim si kodu v subore Dockerfile ktory sluzi na to aby vytvoril docker image.

Odpovedať Známka: 6.7 Hodnotiť:
 

Docker image je v podstate jednoducho povedane virtualizovany snapshot linuxoveho systemu ktory zachytava urcity stav tohto operacneho systemu.
Stav operacneho systemu mozes menit tak ze do neho napriklad nainstalujes nejaky software alebo zmenis mu konfiguraciu.
Toto dosiahnes bud manualne, a vytvoris docker image bez Dockerfile, ktory bude blackbox do ktoreho nikdo neuvidi a mozes tam vlozit skodlivy kod a nikdo si to nemusi vsimnut. Alebo vytvorit docker image pomocou Dockerfile kde je transparentne vidiet sekvencia instrukcii ktora docker image vytvara.
Odpovedať Známka: 8.2 Hodnotiť:
 

A co sa tyka auditovania docker obrazov, tak ak idem pouzit cudzi docker image, najprv si precitam a pochopim jeho Dockerfile. Ale vacsinou si aj tak pisem vlastny Dockerfile. Nerobi mi problem napisat par riadkov kodu aby som si automatizoval tvorbu vlastneho docker image.
Odpovedať Známka: 8.2 Hodnotiť:
 

Az na to, ze mozes mat zverejneny Dockerfile, ale do Docker Hubu natlacis uplne iny image. Dockerfile ti nepomoze. Musis inspectnut priamo Docker image. A ani to ti nepomoze, ked tam bude binarka, ktora nevies ako vznikla. Kludne image moze byt regularny nginx, ktory vsak bude mat jedno vlakno na tazenie kryptomeny.
Odpovedať Hodnotiť:
 

Nemozes dat iny docker image ako je v Dockerfile na Docker Hub, pretoze Docker Hub rozlisuje automaticke buildy a manualne buildy.
Pri automatickom builde tam mas nejaku ikonku/badge s napisom "This is automatic build" to znamena ze ked je upraveny github repozitar, tak Docker Hub automaticky vdaka webhooku urobi novy build.

Jedine tak by sa to dalo oklamat ze bol by to manunalny build, ale bol by prilozeny Dockerfile. Ale to si musis proste davat pozor a citat si ci sa jedna o automaticky build.

A ked sa nechces spoliehat na build na Docker Hube, nemusis robit "docker pull" ale mozes stiahnut cely repozitar ku sebe a urobit "docker build" u seba.
Odpovedať Hodnotiť:
 

ja osobne nestahujem ziadne manualne docker images z Docker Hubu, iba automaticke buildy u ktorych mam skontrolovany Dockerfile.
Odpovedať Hodnotiť:
 

vy... oneee
Odpovedať Známka: -10.0 Hodnotiť:
 

Jasne keď tomu nerozumies je najlepšie sa na to vysrat. Nepouzivaj ani iné open source repozitare na githube lebo ani tým nerozumieš. Vlastne ani softvér ktorý nieje open source nemôžeš použiť lebo nemôžeš skontrolovať kód ktoremu by si síce aj tak nechápal. Prestan rovno používať počítač a zakazeme internety.
Odpovedať Známka: 5.7 Hodnotiť:
 

necudujte sa, ved toto sa nestalo prvy krat. a urcite ani posledny.
Odpovedať Hodnotiť:
 

detegovat
Odpovedať Hodnotiť:

Pridať komentár