Taggat med: Docker Hub

Docker Hub hackade

Inatt så hackades tjänsten Docker Hub. Enligt många var det bara en tidsfråga innan just Docker Hub skulle hackas. Det är nämligen så att de templates för operativsystem som den populära mjukvaran Docker använder hämtas hem från Docker hub. Sedan några år är Alpine Linux den standard Linux-dist som används av Docker.

Om en bakdörr skulle läggas in i något av de mer populära avbildningsfilerna såsom Alpine på Docker Hub så skulle troligtvis tusentals installera denna avbildning automatiskt.

I sitt utskick så meddelar Docker att mindre än 5% av kontona kan ha blivit röjda vilket rör sig om ungefär 190 000 konton. Även bör dessa konton återställa sina länkade Bitbucket samt GitHub-konton. Du kan nämligen länka dessa tredjepartstjänster mot ditt Docker Hub-konton via oauth, för automatiska byggen.

På HackerNews klagar många på hur just integrationen mot Github fungerar och att det krävs skriv samt läsrättigheter till hela kontot (om man inte använder Github Apps). Även så vore det trevligt om Alpine var ett reproducerbart bygge för att öka transparensen och göra det lättare att upptäcka bakdörrar. Dock finns det inget som tyder på att bakdörrar har lagts in i detta skede.

Meddelanet som skickades ut:

Bakdörrar identifierade på Docker Hub

Ett antal avbilder som återfinnes på populära Docker Hub innehåller bakdörrar. Dessa avbilder med bakdörrar har laddats hem mer än 90000 gånger.  Kontot som laddat upp dessa bakdörrar har namnet docker123321 och bakdörren utnyttjar användarens kapacitet för kryptovaluta-mining.

Det är totalt 14 stycken olika avbilder (images) som innehåller den skadliga koden rapporterar Kromtech Security Center. Totalt har 544.74 Moneros beräknats vilket motsvarar en vinst på ca 791 000 SEK.

Plånboken som tar emot Moneros är:

41e2vPcVux9NNeTfWe8TLK2UWxCXJvNyCQtNb69YEexdNs711jEaDRXWbwaVe4vUMveKAzAiA4j8xgUi29TpKXpm3zKTUYo

Och här är en skärmdump från Github gällande en av bakdörrarna som jack0 upptäckte och rapporterade till Docker:

Exempel på någon som upptäckt att en brandväggs-image innehöll miner den 7:de Augusti 2017:

https://twitter.com/jperras/status/894561761252319232

Jag tror tyvärr att detta är en trend som kommer att öka. I takt med allt fler marknadsplatser såsom Docker Hub och Google Web Store så kommer även antagonisterna att utnyttja detta faktum. För tyvärr är det inte lätt att rapportera skadlig kod och de automatiska testerna som genomförs på sådant som laddas upp är bristfälliga.

Intressant att notera är även att Kromtech står bakom den kontroversiella mjukvaran MacKeeper.

Viktigt: Det vore mycket trevligt om du stödjer Kryptera.se via Patreon >