Docker Hub发现带有挖矿后门的镜像,已被下载500万次


6月14日,安全厂商FortinetKromtech发现17个受到感染的Docker容器。这些容器以可下载镜像形式存在,其中包含可用于挖掘加密货币的程序。在进一步调查当中,两家公司发现这些镜像的下载次数高达500万次,这意味着黑客能够将命令注入这些不安全容器当中,从而将相关代码注入至其它合法的Web应用程序当中。顺带一提,作为这些容器的发现平台,Docker Hub是一套用于承载用户镜像的存储库。

研究人员David Maciejak写道,“当然,我们基本可以确定其中并不涉及手动部署操作。实际上,攻击似乎以完全自动化形式实现。攻击者有可能开发出一套脚本以查找存在配置错误的已安装Docker与Kubernetes。其中,Docker将作为客户端/服务器架构存在,这意味着服务可以通过REST API实现完全远程管理。”

这些容器目前已经不复存在,但黑客可能已经借此获得了价值达9万美元的加密货币——虽然看似数字不大,但对此类黑客活动而言已经是一笔不小的收益。

Kromtech公司的一位报告撰写者表示,“如今可公开访问且存在配置错误的编排平台如雨后春笋般不断涌现,Kubernetes就是其中的典型。这意味着黑客可以创建出全自动工具,迫使这些平台为其挖掘门罗币。通过将恶意镜像上传至Docker Hub注册表再与受害者系统建立对接,黑客得以挖掘到544.74个门罗币——相当于9万美元。”

Docker公司安全负责人David Lawrence在一篇报告中提到,“作为一套类似于GitHub的公共存储库,Docker Hub的作用在于为社区服务。在处理公共存储库以及其中的开源代码时,我们建议您遵循以下最佳实践,具体包括:了解内容作者、在运行之前对镜像进行扫描,同时尽可能在Docker Hub当中使用官方发布的镜像或是Docker Store当中得到认证的内容。”

有趣的是,最近一段时间黑客已经将攻击矛头从亚马逊平台上的AWS Elastic Compute服务器转向Docker及其它基于容器的系统。虽然存在可用于管理Docker及Kubernetes容器的安全系统,但相信黑客将不断扩大自身攻击能力优势,因此用户应始终保持警惕态度并认真评估自身漏洞。

原文链接:Tainted, crypto-mining containers pulled from Docker Hub

0 个评论

要回复文章请先登录注册