Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kopanie kryptowalut przez złośliwe obrazy Dockera
W tym krótkim newsie omówimy jeden przypadek ataku z wykorzystaniem obrazów Dockera. Dla czytelników mniej zaznajomionych z tą technologią: est to popularne ostatnimi czasy rozwiązanie, które pozwala uruchamiać aplikacje w skonteneryzowanym środowisku (czyli takim, które nie powinno mieć dostępu do „zwykłych” zasobów systemu operacyjnego, tylko w jakiś sposób sandboksowanych). Przykładowo uruchomienie szybko na swojej maszynie basha w Debianie to z wykorzystaniem Dockera jedno proste polecenie:
docker run -it debian bash
Docker w takiej sytuacji automatycznie pobiera obraz kontenera ze swojego huba i uruchamia w nim zadanie przez nas polecenie. I w tym momencie można już zauważyć pierwszy problem, mianowicie: czy możemy ufać obrazom Dockera pobieranym z huba? Badacze z Palo Alto ogłosili niedawno ciekawy przykład ataku, w którym wykazują, że nie. W hubie istniało konto azurenql
(które, jak widać, miało udawać konto Microsoftu), które wystawiało obrazy dockera kopiące kryptowalutę Monero. Te obrazy zostały pobrane ponad dwa miliony razy!
Na jednym ze zidentyfikowanych portfeli była kwota 525,38 XMR, która obecnie odpowiada ok. 36 tys. dolarów.
Oczywiście po interwencji Palo Alto, złośliwe konto zostało usunięte z Huba. Warto jednak z powyższej historii wyciągnąć wniosek, że najlepiej pobierać obrazy dockerowe z oficjalnych kont dostawców, bo te nieoficjalne mogą zawierać takie dodatkowe niespodzianki.
— mb
Zawsze lepiej samemu zbudować obraz, szczególnie jeśli leci na produkcje.