Docker: como hackers estão explorando conteinerização

17 imagens Docker disponibilizadas por uma única conta durante 10 meses no Docker Hub, com mais de 5 milhões de pulls, podem ter minerado US $90.000 em criptomoedas Monero.

Como foi a invasão via imagens Docker

As imagens Docker são pacotes que normalmente incluem uma aplicação pré-configurada em execução em um sistema operacional. Ao baixá-las do Docker Hub, os desenvolvedores podem economizar muito tempo de configuração. Nos últimos meses, uma ou mais pessoas usaram a conta docker123321 do Docker Hub para fazer o upload de imagens publicamente disponíveis que continham código secreto para criptografia de mineração de criptomoedas.

Figura 1. Linha do tempo do ciclo de vida do usuário docker123321 no Docker Hub.

A ameaça a ser enfrentada

Além da possibilidade dos próprios usuários de containers Docker terem baixado essas imagens para utilizar em seus servidores, o crescente número de plataformas de orquestração mal configuradas e publicamente acessíveis, como o Kubernetes, podem ter facilitado, permitindo que os hackers criassem uma ferramenta totalmente automatizada que força essas plataformas utilizar estas imagens para minerar criptomoeda Monero.

Cuidados a serem tomados

Eles avisaram que, apesar das imagens terem sido removidas do Docker Hub, muitos servidores que instalaram as imagens ainda podem estar infectados.

Application Security Analyst na Compasso UOL, mestre em Ciência da Computação e pós-graduado em Segurança Cibernética pela UFRGS.

Application Security Analyst na Compasso UOL, mestre em Ciência da Computação e pós-graduado em Segurança Cibernética pela UFRGS.