Docker, Inc.
Ara s’ha confirmat que l’equip de Docker havia d’extreure 17 imatges de contenidors diferents que tenien dins de les portes posteriors perilloses. Aquestes portes posteriors s’havien utilitzat per instal·lar coses com ara programari de mineria de criptomonedes piratejat i invertir shell en servidors durant aproximadament l’últim any. Les noves imatges de Docker no passen per cap mena de procés d’auditoria de seguretat, de manera que van aparèixer al Docker Hub tan bon punt es van publicar el maig de 2017.
Tots els fitxers d'imatge van ser penjats per un sol individu o grup que operava sota el controlador de docker123321, que està lligat a un registre que es va purgar el 10 de maig d'aquest any. Es van instal·lar uns quants paquets més d'un milió de vegades, tot i que això no significa necessàriament que hagin infectat tantes màquines. És possible que no s’hagin activat mai totes les portes posteriors i és possible que els usuaris les hagin instal·lat més d’una vegada o les hagin col·locat en diversos tipus de servidors virtualitzats.
Tant Docker com Kubernetes, que és una aplicació per gestionar els desplegaments d'imatges Docker a gran escala, van començar a mostrar activitats irregulars ja al setembre del 2017, però les imatges només es van extreure fa relativament poc. Els usuaris van informar de fets inusuals als servidors del núvol i es van publicar informes a GitHub, així com a una popular pàgina de xarxes socials.
Els experts en seguretat de Linux afirmen que, en la majoria dels casos en què els atacs van tenir èxit, els que realitzaven aquests atacs utilitzaven fitxers d’imatges contaminats per llançar algun tipus de programari XMRig en servidors victimitzats per explotar monedes Monero. Això va donar als atacants la possibilitat d'extreure més de 90.000 dòlars de Monero en funció dels tipus de canvi actuals.
Alguns servidors a partir del 15 de juny encara podrien estar compromesos. Fins i tot si es van suprimir les imatges contaminades, els atacants podrien haver obtingut algun altre mitjà per manipular un servidor. Alguns experts en seguretat han recomanat netejar els servidors i han arribat a insinuar que treure imatges de DockerHub sense saber què hi ha pot ser una pràctica insegura per al futur.
Tanmateix, aquells que només han desplegat imatges casolanes als entorns Docker i Kubernetes. El mateix passa amb aquells que només han utilitzat mai imatges certificades.
