В 2013 году компания Docker реализовала новую технологию контейнеров на базе ОС Linux, снабдив ее удобным в использовании интерфейсом командной строки, движком и реестром. Они скрыли всю сложность создания и эксплуатации контейнеров, предложив единый стандарт. В результате популярность данного подхода взлетела до небес, круто преобразив отрасль.
Для распространения образов контейнеров Docker создала сервис Docker Hub. Он позволяет любому разработчику устанавливать доступные образы и делиться своими. На 2020 год Docker Hub насчитывает более 4 миллионов общедоступных образов.
Prevasio, компания, проводящая исследования в области кибербезопасности, 1 декабря объявила, что провела сканирование всех доступных образов на Docker Hub. Результаты показали наличие уязвимостей в 51% образов, и почти 6500 признаны вредоносными.
Специалисты Prevasio создали Prevasio Analyzer песочницу для динамического анализа поведения docker-контейнера. Чтобы обработать все docker-образы, программа была запущена параллельно на 800 машинах в течении целого месяца.
Результаты динамического сканирования показали, что:
- В 6000 контейнеров были обнаружены трояны, инструменты взлома и генераторы криптовалют.
- Довольно много образов изначально не содержат вредоносный код, а загружают его во время работы.
- Более 400 образов содержали давно известное вредоносное ПО, созданное для ОС Windows, которое было портированно на Linux с помощью GoLang(подробнее https://goforum.info/ на golang форуме), .NET Core или PowerShell Core. По данным Docker Hub эти образы были загружены более 600 тысяч раз.
Разработчики программных продуктов часто в попытке сэкономить время используют кем-то предварительно собранный docker-образ вместо создания нового. Такая практика может передать злоумышленникам полную свободу действий над контейнеризированным приложением.
