Docker، Inc.
تم التأكيد الآن على أن فريق Docker اضطر إلى سحب 17 صورة حاوية مختلفة تحتوي على أبواب خلفية خطيرة مخزنة بداخلها. تم استخدام هذه الأبواب الخلفية لتثبيت أشياء مثل برامج تعدين العملات المشفرة المخترقة وأصداف عكسية على الخوادم خلال العام الماضي تقريبًا. لا تخضع صور Docker الجديدة لأي نوع من عمليات التدقيق الأمني ، لذلك تم إدراجها في Docker Hub بمجرد نشرها في مايو 2017.
تم تحميل جميع ملفات الصور من قبل فرد واحد أو مجموعة تعمل تحت مقبض docker123321 ، المرتبط بسجل تم حذفه في 10 مايو من هذا العام. تم تثبيت عدد قليل من الحزم أكثر من مليون مرة ، على الرغم من أن هذا لا يعني بالضرورة أنها أصابت بالفعل العديد من الأجهزة. ربما لم يتم تنشيط جميع الأبواب الخلفية وربما قام المستخدمون بتثبيتها أكثر من مرة أو وضعها على أنواع مختلفة من الخوادم الافتراضية.
بدأ كل من Docker و Kubernetes ، وهو تطبيق لإدارة عمليات نشر صور Docker على نطاق واسع ، في إظهار أنشطة غير منتظمة في وقت مبكر من سبتمبر 2017 ، ومع ذلك تم سحب الصور مؤخرًا نسبيًا. أبلغ المستخدمون عن أحداث غير عادية على الخوادم السحابية وتم نشر التقارير على GitHub بالإضافة إلى صفحة شبكات اجتماعية شهيرة.
يزعم خبراء الأمن في Linux أنه في معظم الحالات التي نجحت فيها الهجمات بالفعل ، كان أولئك الذين نفذوا الهجمات المذكورة يستخدمون ملفات الصور الملوثة لإطلاق شكل من أشكال برنامج XMRig على خوادم الضحايا من أجل استخراج عملات Monero. أعطى هذا للمهاجمين القدرة على استخراج أكثر من 90 ألف دولار من Monero اعتمادًا على أسعار الصرف الحالية.
قد تظل بعض الخوادم حتى 15 يونيو معرضة للخطر. حتى لو تم حذف الصور الملوثة ، فربما يكون المهاجمون قد حصلوا على نوع من الوسائل الأخرى للتلاعب بالخادم. أوصى بعض خبراء الأمان بمسح الخوادم نظيفة ، وقد ذهبوا إلى حد التلميح إلى أن سحب الصور من DockerHub دون معرفة ما بداخلها قد يكون ممارسة غير آمنة للمستقبل.
ومع ذلك ، فإن أولئك الذين نشروا صورًا محلية الصنع فقط في بيئات Docker و Kubernetes لم يتأثروا بذلك. الشيء نفسه ينطبق على أولئك الذين استخدموا الصور المعتمدة فقط.
