{"id":18181,"date":"2018-06-19T11:20:25","date_gmt":"2018-06-19T14:20:25","guid":{"rendered":"https:\/\/king.host\/blog\/?p=18181"},"modified":"2025-09-26T14:29:27","modified_gmt":"2025-09-26T17:29:27","slug":"docker-hackers-conteinerizacao","status":"publish","type":"post","link":"https:\/\/king.host\/blog\/tecnologia\/docker-hackers-conteinerizacao\/","title":{"rendered":"Docker: como hackers est\u00e3o explorando conteineriza\u00e7\u00e3o"},"content":{"rendered":"

17 imagens Docker disponibilizadas por uma \u00fanica conta durante 10 meses no Docker Hub<\/strong>, com mais de 5 milh\u00f5es de pulls<\/strong>, podem ter minerado US $90.000<\/strong> em criptomoedas Monero.<\/p>\n

Uma \u00fanica pessoa ou grupo pode ter minerado at\u00e9 US $90.000 em 10 meses, espalhando 17 imagens maliciosas que foram baixadas mais de 5 milh\u00f5es de vezes do Docker Hub<\/strong>, disseram pesquisadores da Kromtech Security Center<\/a>. O reposit\u00f3rio finalmente foi removido em maio, mais de oito meses depois de receber a primeira reclama\u00e7\u00e3o de usu\u00e1rios.<\/p>\n

Como foi a invas\u00e3o via imagens Docker<\/h2>\n

As imagens Docker s\u00e3o pacotes que normalmente incluem uma aplica\u00e7\u00e3o pr\u00e9-configurada em execu\u00e7\u00e3o em um sistema operacional<\/strong>. Ao baix\u00e1-las do Docker Hub, os desenvolvedores podem economizar muito tempo de configura\u00e7\u00e3o. Nos \u00faltimos meses, uma ou mais pessoas usaram a conta docker123321<\/strong> do Docker Hub<\/strong> para fazer o upload de imagens publicamente dispon\u00edveis que continham c\u00f3digo secreto para criptografia de minera\u00e7\u00e3o de criptomoedas.<\/p>\n

Em setembro de 2017<\/strong>, um usu\u00e1rio do GitHub<\/a> reclamou que uma das imagens continha um backdoor<\/strong>, uma esp\u00e9cie de v\u00edrus\/programa malicioso.<\/p>\n

Nem a conta do Docker Hub, nem as imagens maliciosas enviadas foram removidas<\/strong>. Nos meses seguintes, a conta enviou mais 14 imagens maliciosas<\/strong>. As submiss\u00f5es foram reportadas publicamente mais duas vezes, uma vez em janeiro pela empresa de seguran\u00e7a Sysdig<\/a> e novamente em maio pela empresa de seguran\u00e7a Fortinet<\/a>.<\/p>\n

Oito dias ap\u00f3s o relat\u00f3rio do m\u00eas passado, o Docker Hub finalmente removeu as imagens<\/strong>. O quadro a seguir, fornecido pela empresa de seguran\u00e7a Kromtech, mostra a cronologia dos envios das imagens para o Docker Hub.<\/p>\n

\"\"
Figura 1. Linha do tempo do ciclo de vida do usu\u00e1rio docker123321 no Docker Hub.<\/figcaption><\/figure>\n

A amea\u00e7a a ser enfrentada<\/h2>\n

Al\u00e9m da possibilidade dos pr\u00f3prios usu\u00e1rios de containers Docker terem baixado essas imagens para utilizar em seus servidores, o crescente n\u00famero de plataformas de orquestra\u00e7\u00e3o mal configuradas e publicamente acess\u00edveis<\/strong>, como o Kubernetes, podem ter facilitado, permitindo que os hackers criassem uma ferramenta totalmente automatizada que for\u00e7a essas plataformas utilizar estas imagens para minerar criptomoeda Monero. <\/strong><\/p>\n

Os clusters de Kubernetes<\/strong>, que s\u00e3o implantados para fins educacionais ou para testes com falta de requisitos de seguran\u00e7a, representam uma grande amea\u00e7a para seus propriet\u00e1rios<\/strong>. At\u00e9 mesmo um engenheiro experiente poderia se importar menos ou mesmo esquecer essa parte da infraestrutura ap\u00f3s os testes.<\/p>\n

Um relat\u00f3rio<\/a> de imagens mal-intencionadas, detalhada em uma postagem publicada na \u00faltima quarta-feira pela empresa de seguran\u00e7a Kromtech, fornece mais informa\u00e7\u00f5es e um alerta para os desenvolvedores.<\/strong><\/p>\n

\u201cPara usu\u00e1rios comuns, apenas puxar uma imagem do Docker Hub e usar, \u00e9 como extrair dados bin\u00e1rios arbitr\u00e1rios de algum lugar, execut\u00e1-lo e esperar pelo melhor, sem saber realmente o que h\u00e1 nele\u201d, escreveram os pesquisadores.<\/p><\/blockquote>\n

Cuidados a serem tomados<\/h2>\n

Eles avisaram que, apesar das imagens terem sido removidas do Docker Hub, muitos servidores que instalaram as imagens ainda podem estar infectados<\/strong>.<\/p>\n

Os pesquisadores tamb\u00e9m disseram que o malware<\/em> pode continuar funcionando mesmo depois que os administradores acharem que apagaram a imagem maliciosa<\/strong>. A postagem de quarta-feira inclui os nomes de todas as 17 imagens. Qualquer pessoa que tenha instalado uma delas deve analisar os servidores em busca de sinais de infec\u00e7\u00e3o.<\/p>\n

Tamb\u00e9m nesta postagem \u00e9 relatado outros casos de hackers que conseguiram ter acesso a consoles de administra\u00e7\u00e3o do Kubernetes<\/strong>, sem qualquer prote\u00e7\u00e3o por senha, entre esses casos est\u00e1 inclu\u00eddo o caso da Tesla, que al\u00e9m da exposi\u00e7\u00e3o de dados eles usaram os servidores para minerar criptomoedas.<\/p>\n

Assim como no relat\u00f3rio da Kromtech, mostrando que as imagens maliciosas utilizavam a t\u00e9cnica de Reverse Shell, vou trazer um exemplo mais pr\u00f3ximo: h\u00e1 nove meses eu coloquei no Docker Hub uma imagem com Reverse Shell<\/a>.<\/strong> A imagem foi criada para uma demonstra\u00e7\u00e3o em ambiente controlado, ent\u00e3o ela n\u00e3o seria uma amea\u00e7a, mas ningu\u00e9m sabe que tem esse script l\u00e1 dentro se n\u00e3o analisar, e essa imagem teve mais de 10 mil pulls. Pois \u00e9 voc\u00ea pode estar usando uma imagem que d\u00e1 acesso total ao seu servidor<\/strong>.<\/p>\n

Para isso, existem v\u00e1rias ferramentas hoje no mercado para nos ajudar a manter nossos containers seguros.<\/strong>\u00a0Neste artigo<\/a> eu falo um pouco mais sobre algumas dessas ferramentas e mostro exemplos de utiliza\u00e7\u00e3o, algumas s\u00e3o gratuitas e outras open source, ferramentas que podem nos auxiliar e muito no nosso dia-a-dia, na verifica\u00e7\u00e3o das imagens e ambientes onde utilizamos containers.<\/p>\n

Mas o que s\u00e3o containers, Docker e Kubernetes?<\/strong> Se voc\u00ea ainda n\u00e3o conhece, d\u00e1 uma conferida nos artigos abaixo:<\/p>\n