Docker, Inc.
Det er nu blevet bekræftet, at Docker's team skulle trække 17 forskellige containerbilleder, der havde farlige bagdøre gemt inde i dem. Disse bagdøre var blevet brugt til at installere ting som hacket kryptovaluta minesoftware og omvendte skaller på servere i det sidste år. Nye Docker-billeder gennemgår ikke nogen form for sikkerhedsrevisionsproces, så de blev opført på Docker Hub, så snart de blev sendt i maj 2017.
Alle billedfilerne blev uploadet af en enkelt person eller gruppe, der opererer under håndteringen af docker123321, som er bundet til et register, der blev renset den 10. maj i år. Et par pakker blev installeret over en million gange, selvom det ikke nødvendigvis betyder, at de faktisk havde inficeret så mange maskiner. Ikke alle bagdøre er muligvis nogensinde blevet aktiveret, og brugere har muligvis installeret dem mere end en gang eller lagt dem på forskellige typer virtualiserede servere.
Både Docker og Kubernetes, som er en applikation til styring af Docker-billedimplementeringer i stor skala, begyndte at vise uregelmæssige aktiviteter allerede i september 2017, men billederne blev kun trukket relativt for nylig. Brugere rapporterede usædvanlige hændelser på cloud-servere, og rapporter blev sendt på GitHub såvel som en populær side om socialt netværk.
Linux-sikkerhedseksperter hævder, at i de fleste tilfælde, hvor angrebene faktisk var vellykkede, anvendte de, der udførte angrebene, de beskadigede billedfiler til at starte en eller anden form for XMRig-software på ofrede servere for at udvinde Monero-mønter. Dette gav angriberne muligheden for at udvinde mere end $ 90.000 Monero afhængigt af aktuelle valutakurser.
Nogle servere pr. 15. juni er muligvis stadig kompromitterede. Selvom de beskadigede billeder blev slettet, kunne angribere muligvis have opnået en slags andre måder til at manipulere en server. Nogle sikkerhedseksperter har anbefalet at tørre servere rene, og de er gået så langt som at antyde, at trækning af billeder fra DockerHub uden at vide, hvad der er i dem, kan være en usikker praksis for fremtiden.
Dem, der kun nogensinde har implementeret hjemmelavede billeder i Docker- og Kubernetes-miljøer, påvirkes dog ikke. Det samme gælder dem, der kun nogensinde har brugt certificerede billeder.
