Docker, Inc.
Nyt on vahvistettu, että Dockerin tiimin oli vedettävä 17 erilaista säiliökuvaa, joissa oli vaarallisia takaovia. Näitä takaovia oli käytetty asennettuihin asioihin, kuten hakkeroituihin krypto-valuutan kaivosohjelmistoihin ja käänteisiin kuoreihin palvelimille noin viime vuoden ajan. Uudet Docker-kuvat eivät käy läpi minkäänlaista suojauksen tarkastusprosessia, joten ne listattiin Docker Hubiin heti, kun ne lähetettiin toukokuussa 2017.
Kaikki kuvatiedostot latasi yksi henkilö tai ryhmä, joka toimi docker123321 -kahvan alla, joka on sidottu rekisteriin, joka puhdistettiin 10. toukokuuta tänä vuonna. Muutama paketti asennettiin yli miljoona kertaa, vaikka se ei välttämättä tarkoita sitä, että he olisivat todella tartuttaneet niin monet koneet. Kaikkia takaovia ei ehkä ole koskaan aktivoitu, ja käyttäjät ovat saattaneet asentaa ne useammin kuin kerran tai laittaa ne erityyppisiin virtualisoituihin palvelimiin.
Sekä Docker että Kubernetes, joka on sovellus suurten Docker-kuvien käyttöönoton hallintaan, alkoivat näyttää epäsäännöllisiä toimintoja jo syyskuussa 2017, mutta kuvia vedettiin vasta suhteellisen äskettäin. Käyttäjät ilmoittivat epätavallisista tapahtumista pilvipalvelimilla, ja raportit lähetettiin GitHubiin sekä suositulle sosiaalisen verkostoitumisen sivulle.
Linux-turvallisuusasiantuntijat väittävät, että useimmissa tapauksissa, joissa hyökkäykset tosiasiallisesti onnistuivat, kyseiset hyökkäykset suorittaneet käyttivät pilaantuneita kuvatiedostoja käynnistääkseen jonkinlaisen XMRig-ohjelmiston uhriksi joutuneille palvelimille Monero-kolikoiden louhimiseksi. Tämä antoi hyökkääjille mahdollisuuden kaivaa yli 90 000 dollarin arvoinen Monero nykyisen valuuttakurssin mukaan.
Jotkut palvelimet 15. kesäkuuta alkaen saattavat edelleen olla vaarassa. Vaikka pilaantuneet kuvat poistettaisiin, hyökkääjät olisivat voineet hankkia jonkinlaisen muun tavan palvelimen manipuloimiseksi. Jotkut tietoturva-asiantuntijat ovat suosittaneet palvelimien pyyhkimistä puhtaiksi, ja he ovat menneet niin pitkälle, että vihjailevat, että kuvien vetäminen DockerHubista tietämättä, mitä niissä voi olla, on tulevaisuudessa vaarallista käytäntöä.
Niitä, jotka ovat koskaan käyttäneet kotitekoisia kuvia vain Docker- ja Kubernetes-ympäristöissä, ei kuitenkaan tehdä. Sama koskee niitä, jotka ovat koskaan käyttäneet vain sertifioituja kuvia.
