Docker, Inc.
Ahora se ha confirmado que el equipo de Docker tuvo que extraer 17 imágenes de contenedores diferentes que tenían puertas traseras peligrosas almacenadas en su interior. Estas puertas traseras se han utilizado para instalar cosas como software de minería de criptomonedas pirateado y shells inversos en servidores durante aproximadamente el último año. Las nuevas imágenes de Docker no pasan por ningún tipo de proceso de auditoría de seguridad, por lo que se incluyeron en Docker Hub tan pronto como se publicaron en mayo de 2017.
Todos los archivos de imagen fueron cargados por un solo individuo o grupo que opera bajo el control de docker123321, que está vinculado a un registro que se eliminó el 10 de mayo de este año. Algunos paquetes se instalaron más de un millón de veces, aunque esto no significa necesariamente que hayan infectado tantas máquinas. Es posible que no se hayan activado todas las puertas traseras y que los usuarios las hayan instalado más de una vez o las hayan puesto en varios tipos de servidores virtualizados.
Tanto Docker como Kubernetes, que es una aplicación para administrar implementaciones de imágenes de Docker a gran escala, comenzaron a mostrar actividades irregulares en septiembre de 2017, pero las imágenes solo se extrajeron hace relativamente poco tiempo. Los usuarios informaron sobre sucesos inusuales en los servidores de la nube y los informes se publicaron en GitHub, así como en una popular página de redes sociales.
Los expertos en seguridad de Linux afirman que en la mayoría de los casos en los que los ataques fueron realmente exitosos, los que llevaron a cabo dichos ataques estaban usando los archivos de imagen contaminados para lanzar algún tipo de software XMRig en servidores victimizados para extraer monedas de Monero. Esto les dio a los atacantes la capacidad de extraer más de $ 90,000 en Monero dependiendo de los tipos de cambio actuales.
Algunos servidores a partir del 15 de junio aún podrían estar comprometidos. Incluso si se eliminaran las imágenes contaminadas, los atacantes podrían haber obtenido algún tipo de otro medio para manipular un servidor. Algunos expertos en seguridad han recomendado limpiar los servidores y han llegado a insinuar que extraer imágenes de DockerHub sin saber qué contienen puede ser una práctica insegura para el futuro.
Sin embargo, aquellos que solo han implementado imágenes caseras en entornos Docker y Kubernetes no se ven afectados. Lo mismo ocurre con aquellos que solo han utilizado imágenes certificadas.
