Docker, Inc.
Zdaj je bilo potrjeno, da je morala Dockerjeva ekipa izvleči 17 različnih posod s posodami, v katerih je bila shranjena nevarna zakulisja. Ta zakritja so bila približno zadnje leto uporabljena za namestitev stvari, kot so vdrta programska oprema za rudarjenje kriptovalut in povratne lupine na strežnike. Nove Dockerjeve slike ne prehajajo v kakršen koli postopek varnostne presoje, zato so bile na Docker Hub uvrščene takoj, ko so bile objavljene maja 2017.
Vse slikovne datoteke je naložil en posameznik ali skupina, ki deluje pod ročico docker123321, ki je povezana z registrom, ki je bil očiščen 10. maja letos. Nekaj paketov je bilo nameščenih več kot milijonkrat, čeprav to ne pomeni nujno, da so dejansko okužili toliko naprav. Morda niso bila nikoli aktivirana vsa zaledja in so jih uporabniki lahko namestili večkrat ali jih namestili na različne vrste virtualiziranih strežnikov.
Tako Docker kot Kubernetes, ki je aplikacija za upravljanje obsežnega uvajanja Dockerjevih slik, sta začela prikazovati nepravilne dejavnosti že septembra 2017, vendar so bile slike povlečene šele relativno nedavno. Uporabniki so poročali o nenavadnem dogajanju na strežnikih v oblaku, poročila pa so bila objavljena na GitHubu in na priljubljeni strani o družabnih omrežjih.
Strokovnjaki za varnost v Linuxu trdijo, da so v večini primerov, ko so bili napadi dejansko uspešni, tisti, ki so izvajali omenjene napade, s poškodovanimi slikovnimi datotekami zagnali neko obliko programske opreme XMRig na oškodovanih strežnikih, da bi kopali kovance Monero. To je napadalcem omogočilo, da izkoristijo Monero za več kot 90.000 USD, odvisno od trenutnih tečajev.
Nekateri strežniki od 15. junija so lahko še vedno ogroženi. Tudi če bi bile uničene slike izbrisane, bi lahko napadalci dobili kakšen drug način za manipulacijo s strežnikom. Nekateri strokovnjaki za varnost priporočajo čiščenje strežnikov in šli so tako daleč, da so namigovali, da je vlečenje slik iz DockerHub-a, ne da bi vedeli, kaj je v njih, lahko nevarna praksa v prihodnosti.
Tisti, ki so v okoljih Docker in Kubernetes samo kdaj namestili domače slike, to ne vpliva. Enako velja za tiste, ki so kdaj uporabljali samo certificirane slike.
