公開されている 1,600 を超える Docker Hub イメージは、暗号通貨マイナー、バックドアとして使用できる埋め込みシークレット、DNS ハイジャッカー、Web サイト リダイレクターなどの悪意のある動作を隠しています。
Docker Hub はクラウドベースのコンテナー ライブラリであり、人々は自由に Docker イメージを検索してダウンロードしたり、作品をパブリック ライブラリや個人リポジトリにアップロードしたりできます。
Docker イメージは、すぐに使用できるコードとアプリケーションを含むコンテナーをすばやく簡単に作成するためのテンプレートです。そのため、新しいインスタンスをセットアップしようとしている人は、簡単にデプロイできるアプリケーションをすばやく見つけるために Docker Hub を利用することがよくあります。
残念ながら、攻撃者によるサービスの悪用により、1,000 を超える悪意のあるアップロードが、疑いを持たないユーザーがローカルでホストされているコンテナーまたはクラウドベースのコンテナーにマルウェアを含むイメージを展開することに深刻なリスクをもたらしています。
多くの悪意のある画像は、人気のある信頼できるプロジェクトに偽装した名前を使用しているため、攻撃者はそれらを明らかにアップロードして、ユーザーをだましてダウンロードさせました。
Sysdig の研究者は、問題の規模を評価するためにこの問題を調査し、何らかの形式の悪意のあるコードまたはメカニズムを特徴とする発見された画像について報告しました。
Docker Hub トラップ
信頼できることが確認された Docker ライブラリ プロジェクトによってレビューされたイメージとは別に、ステータスが不明な数十万のイメージがサービス上にあります。
Sysdig は、自動スキャナーを使用して 250,000 の未検証の Linux イメージを精査し、そのうち 1,652 を悪意のあるものとして特定しました。
最大のカテゴリは暗号通貨マイナーのカテゴリで、608 個のコンテナー イメージで発見され、サーバー リソースを標的にして攻撃者のために暗号通貨をマイニングしていました。
2 番目に多かったのは、埋め込まれた秘密を隠している画像で、281 件のケースが測定されました。これらのイメージに埋め込まれたシークレットは、SSH キー、AWS 資格情報、GitHub トークン、NPM トークンなどです。
Sysdig は、これらの秘密が誤ってパブリック イメージに残されたか、それらを作成してアップロードした攻撃者によって意図的に挿入された可能性があるとコメントしています。
「コンテナーに SSH キーまたは API キーを埋め込むことで、攻撃者はコンテナーが展開されるとアクセスできるようになります」と Sysdig はレポートで警告しています。
「たとえば、公開鍵をリモート サーバーにアップロードすると、対応する秘密鍵の所有者は、バックドアを埋め込むのと同じように、シェルを開いて SSH 経由でコマンドを実行できます。」
Sysdig によって発見された多くの悪意のある画像は、タイポスクワッティングを使用して正当で信頼できる画像になりすまし、ユーザーを暗号マイナーに感染させるだけでした。
この戦術は、以下に示す 2 つの例のように、ほぼ 17,000 回ダウンロードされた、いくつかの非常に成功した事例の土台を築きます。
また、タイポスクワッティングは、人気のあるプロジェクトの名前を間違えたユーザーが悪意のあるイメージをダウンロードすることを保証するため、被害者の数はそれほど多くはありませんが、感染の安定した流れを確実にします.
.png)
悪化する問題
Sysdig によると、2022 年には、Docker Hub からプルされたすべてのイメージの 61% がパブリック リポジトリからのものであり、2021 年の統計から 15% 増加しているため、ユーザーのリスクは増加しています。
残念ながら、Docker Hub パブリック ライブラリのサイズでは、オペレーターがすべてのアップロードを毎日精査することはできません。したがって、多くの悪意のある画像が報告されません。
Sysdig はまた、ほとんどの攻撃者が悪意のある画像を数枚アップロードするだけであることにも気付きました。そのため、危険な画像が削除され、アップローダーが禁止されたとしても、プラットフォームの脅威の状況に大きな影響を与えることはありません.
Comments