The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Взлом инфраструктуры Docker Hub с возможной компрометацией связанных репозиториев

27.04.2019 08:34

Пользователи Docker Hub, официального каталога контейнеров для системы Docker, получили уведомление о взломе инфраструктуры проекта. В результате атаки в руки злоумышленников попала база учётных записей, включающая сведения о 190 тысячах пользователей сервиса, включая хэши их паролей и токены для доступа к репозиториям на GitHub и Bitbucket. Для предотвращения распространения атаки формирование сборок приостановлено, а токены к GitHub и Bitbucket отозваны.

Всем пользователям Docker Hub рекомендуется срочно поменять свои пароли, особенно если один пароль используется на нескольких разных ресурсах. В случае использования автоматизированных сборок с привязкой к репозиторию на GitHub или Bitbucket также рекомендуется включить двухфакторную аутентификацию и обновить идентификатор подключения OAuth (нужно отсоединить и заново привязать репозиторий).

В случае привязки к репозиторию запрашивались полные полномочия на чтение и запись информации, т.е. компрометация Docker Hub может привести и к компрометации подключенных репозиториев. В случае наличия привязки следует внимательно изучить лог (GitHub BitBucket) последних событий на предмет наличия подозрительной активности. Кроме того, в случае размещения ключей подключения к различным API в непубличных репозиториях и контейнерах, необходимо обновить и эти ключи, так как атакующие могли получить доступ приватным репозиториям.

Инфраструктура Docker Hub была атакована 25 апреля. В ходе атаки злоумышленники получили доступ к СУБД проекта и информации пользователей, за исключением финансовых данных. Начальное разбирательство показало, что утечка охватывает данные приблизительно 190 тысяч пользователей, что составляет примерно 5% от общей пользовательской базы сервиса. Подробная информация об инциденте пока недоступна, разбирательство ещё не завершено.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
  3. OpenNews: Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта
  4. OpenNews: Из каталога Docker Hub удалено 17 образов контейнеров с вредоносным кодом
  5. OpenNews: 11% актуальных образов в репозиториях Docker содержат опасные уязвимости
  6. OpenNews: Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50584-docker
Ключевые слова: docker
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноим (?), 09:29, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +25 +/
    Обо всех этих проектах *hub впереди ещё много интересных новостей (не всегда радостных)
     
     
  • 2.40, пох (?), 10:47, 30/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кстати, а все оценили что их нескучный бложек называется success.docker.com - и страничка, куда ведет ссылка с любой страницы докерхапа, имеет прекрасный подзаголовок "docker success center" ?

    рыдаю под столом. Воистину, саксес!

     
     
  • 3.41, Andrey Mitrofanov (?), 11:21, 30/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >success.docker.com - и
    > "docker success center" ?
    > рыдаю под столом. Воистину, саксес!

    "" Дыркер -- не про безопасность и не про продавакшен, и никогда не был. ""
    http://www.opennet.me/openforum/vsluhforumID3/117187.html#39

    Отано чо!  Он про сак-сцес!11111

     
     
  • 4.43, InuYasha (?), 11:22, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Точно. Про sucks ass.
     

  • 1.3, Аноним (3), 10:08, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Вот жесть, целый docker hub.
     
  • 1.4, Аноним (4), 10:27, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот почему никогда нельзя привязывать друг к другу свои аккаунты на разных сервисах. Дописал что-то в код - закинул на гитхаб от себя. Слепил имидж с обновлённым кодом - закинул на докерхаб опять-таки от себя.
     
     
  • 2.9, Аноним (9), 11:30, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Вы только что придумали велосипед - держите в курсе.

    Собирать докер имеджи руками - моветон

     
     
  • 3.18, Аноним (4), 16:26, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Собирать докер имеджи руками - моветон

    И давно для Вас Алёна Гиль стала авторитетом по части создания Docker-образов?

     
     
  • 4.22, Аноним (9), 17:53, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это мои чисто практические заключения, из опыта, которого к слову с докером уже более 4х лет
     
     
  • 5.33, Аноним (4), 09:40, 28/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну да, конечно, весь твой опыт с Докером подтверждает, что _на своей_ машине автоматом слепить обновлённый образ на основе обновлённого репозитория (который опять-таки живёт _на твоей_ машине, а на гитхаб только отзеркаливается), и _со своей_ машины закинуть его на докерхаб - это страшный моветон, да.
     
     
  • 6.37, Аноним (37), 16:32, 28/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В _твоём_ собственном интернете, никому, кроме _тебя_ не нужном.
     

  • 1.5, Анун (?), 10:38, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Поделом.
    Хотя, им же нечего скрывать)))0
     
  • 1.6, А (??), 10:55, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    весь докерхаб надо поместить в докер, полученный контейнер засунуть в квм, квм-хост запустить на hyper-v, что бы прям все было забетонировано.
     
     
  • 2.7, Аноним (7), 10:58, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    И как же эти действия защитят от взлома?
     
     
  • 3.10, Аноним (10), 11:38, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Никак, но будет правильная матрёшка по типу "мы засунули тебе браузер в браузер, чтобы ты мог сёрфить интернет пока сёрфишь интернет".
     
  • 2.8, Аноним (8), 11:09, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > квм-хост запустить на hyper-v

    Ну-ну.

     
  • 2.13, barkingwolff (ok), 12:24, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ого, редко встретишь настолько глубоко мыслящего индивидуума, что глубину этой мысли даже титаническими усилиями не постичь простому смертному!
    Респект, глубиномер зашкалил!

    P.S. Это часом не Вы изобрели 100-ричную логику, где банальные и привычные законы нашей "приземленной" бинарной логики не действуют от слова "совсем"?
    Если так, то "троектратный Салют" и респект дважды!

     
     
  • 3.16, Аноним (16), 14:38, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > hyper-v

    показывает, на каких курсах он набирался ума

     
  • 3.24, Sw00p aka Jerom (?), 18:18, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >P.S. Это часом не Вы изобрели 100-ричную логику, где банальные и привычные законы нашей "приземленной" бинарной логики не действуют от слова "совсем"?

    Почему же это не действуют? как раз на оборот

    Какая разница между допустим (A xor B) и (A xor B xor C) ?

     

  • 1.11, UshUsh (?), 11:59, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Никогда такого небыло и вот опять
     
     
  • 2.20, Аноним (9), 17:49, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У любого адекватного человека, не родится мысль брать чужие блобы в дом, ну а если взял - ССЗБ.
    В интернете куча статей как собрать образы (from scratch ) , пользуете CI ? прекрасно! Они будут собираться автоматически.

    А дыры всегда были и будут, да вот опять :D

     
     
  • 3.38, нах (?), 09:42, 29/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    линукс себе from scratch собрать не забудь, альтернативно-адекватный ты наш.

    а то ж там блоооообы!
    (тыщи их)

    P.S. а еще есть прекрасные дыркерные контейнеры, которые не имеют исходников в принципе.
    Или имели их - когда-то. А сейчас не соберутся, либо потому что FROM:чтототамчтотригоданазадбыло:latest либо потому что наоборот - внутри wget какая-тохрень, которая давным-давно уже удалена или перемещена незнамокуда.

    Но бывают и такие где автор просто ниасилил автоматическую сборку - смотришь в history - а там - там-тадам add /здоровенный.tar - собранный автором кое-как у себя, любимого, методом проб и ошибок с единственно-верными версиями всего.

     
     
  • 4.45, Аноним (8), 22:18, 05/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > потому что FROM:чтототамчтотригоданазадбыло:latest

    Те чё сказали? FROM: scratch

     

  • 1.12, zurapa (ok), 12:06, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    "Девопсы плакали, но продолжали жрать кактус..."
     
     
  • 2.19, Аноним (9), 17:47, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Гражданин Зара(у)па,

    Шли бы вы лесом, если не умеете (как и большинство тех кто называет себя девопсом ) - то это не значит , что мир на вас замкнулся, всем на-ср-ать на ваше мнение, у бизнеса свои критерии.

    Те кому надо, уже в докере/кубере - да хоть в рокете, а вы продолжайте жевать свой эгкхм Кактус сами.
    Как правило, такие как Вы, даже винду поставить нормально не могут, не говоря уж о каких либо адекватных ОС.

    Мир не идеален, незаменимых нет. Успехов вам, на вашем месте работы, надеюсь вас там ценят и любят (а иначе на-хе-р вас там держать ? )

     
     
  • 3.29, НяшМяш (ok), 22:19, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Эвона взорвалось у анонимуса. Обычно как раз таки наоборот - кучу девопсиков умеет в 3 команды докера, а как только надо запустить локально - так они даже не знают какие пакеты нужно установить (а часто оказывается, что у них венда). С умным видом клацать кнопки в вебморде консоли хостинга и раскатывать готовые имеджи - это не вершина эволюции, уймитесь.
     
     
  • 4.44, InuYasha (?), 11:26, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, это не вершина эволюции. это яма деградации.
     
  • 4.46, Аноним (8), 22:23, 05/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Всяко бывает, да. Приходил один собеседоваться. Его спросили: зачем докер нужен? А он: чтобы после обновления сервиса всю систему не перезагружать.
    Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под вопросом, ибо кроме пары-тройки официальных образов оттуда ничего брать точно не стоило (а после этого факапа и их не стоит).
     
     
  • 5.48, нах (?), 13:15, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Его спросили: зачем докер нужен?

    опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?
    (меня интересует именно это, а не "правильный ответ")


    > Но из существования таких индивидов не следует, что докер не нужен. Вот нужность хаба под
    > вопросом,

    дыркер без хаба - очевидно не нужен.
    поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную.


     
     
  • 6.49, Аноним (49), 15:16, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > дыркер без хаба - очевидно не нужен.

    Это всё равно, что говорить, что git без гитхаба не нужен. Никто ведь не мешает держать свой уютный реестр со своими образами.

    > поскольку превращается в плохой косплей бсдшного джейла, где солнце надо закатывать вручную.

    А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается? И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным оверхедом? Да, подобное можно реализовать с помощью jail, но поверх придётся наворотить ещё вагон кода.

     
     
  • 7.51, пох (?), 21:42, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это всё равно, что говорить, что git без гитхаба не нужен.

    git и с гихапом не нужен, автоматизируя ненужную деятельность и не автоматизируя нужную, но это ладно.

    > Никто ведь не мешает держать свой уютный реестр со своими образами.

    только смысл в этом какой?

    весь смысл и польза от дыркера в том что наружу ничего лишнего не торчит и не может быть просыпано на пол.
    А для этого надо иметь FROM что. Иначе (если оно у тебя уже отдельно от доскера собрано и лежит на общей fs) - нахрена городить этажерку с ее глюками, падениями и тормозами? (и s for security)

    > А что, у бсдешного джейла есть API, позволяющий его легко интегрировать с чем вздумается?

    а зачем он ему, если он не является монстром без ручек с ниасиленными exit codes, не говоря уж о чем сложнее?

    > И что, он умеет наплодить >9000 контейнеров из одного образа за считаные секунды с минимальным
    > оверхедом?

    он умеет запустить 9000 процессов с тем же самым оверхедом, с которым их запустила бы операционная система без всякого контейнера (потому что для нее нет разницы).
    В отличие от доскера, где старт контейнера весьма и весьма уныл из-за создания ненужно-матрешки оверлеев - у меня мониторинг успевает заорать.

    > Да, подобное можно реализовать с помощью jail

    но ведь ненужно.

    > но поверх придётся наворотить ещё вагон кода.

    ну и к дыркеру пришлось. причем это еще и вагон очень плохого кода - начиная от swarm (внезапно ломающего build, казалось бы, никак не связанный с ним) и заканчивая k8s и менее популярными затыкалками явных косяков дизайна и неумения разработчиков доделывать до работоспособного в массовом проекте состояния, а не "запускается!"

    P.S. вот кто-нибудь знает как ЭТО можно употребить с ну хоть какой-нибудь практической пользой?
    https://github.com/gentoo/gentoo-docker-images
    (на build error не обращайте внимания - это как раз последствия взлома)

     
     
  • 8.53, Аноним (8), 23:49, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Собрал базовый образ, на его основе плодишь всё остальное В чём проблема Да, ... большой текст свёрнут, показать
     
     
  • 9.56, пох (?), 07:45, 07/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    зачем, блин базовый образ ты собирал из своей операционной системы - поздравля... большой текст свёрнут, показать
     
     
  • 10.57, Аноним (49), 21:57, 07/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты это, заканчивай там с веществами Образ аккуратно собирается в чруте посредст... большой текст свёрнут, показать
     
     
  • 11.58, пох (?), 12:37, 08/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    больше костылей богу костылей образ, используемый доскером - будем собирать в ч... большой текст свёрнут, показать
     
     
  • 12.59, Аноним (49), 13:48, 08/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, всегда так делали На хабе лежат образы, таким же образом собранные Я тебе ... большой текст свёрнут, показать
     
  • 6.50, Аноним (49), 15:18, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?

    Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и спросили.

     
     
  • 7.52, пох (?), 21:45, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> опа, а с этого места поподробнее - что вы ожидали услышать от правильного кандидата?
    > Да ничего не ожидали. Просто запарил он про докер вчехлять, вот и

    а, в смысле, вы искали админа а пришел девляпс? Ну так ему и не надо знать лишнего, ему надо быстрей-быстрей 9000 контейнеров разворачивать.

     
     
  • 8.54, Аноним (8), 23:50, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Искали девопса, а пришёл портовый грузчик ... текст свёрнут, показать
     
     
  • 9.55, пох (?), 07:22, 07/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мляяя, надо было брать тут хранилку пришлось кусками всю из стоек выковыривать ... текст свёрнут, показать
     

  • 1.14, Аноним (14), 13:36, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Использую несколько официальных образов, таких как php:7.1-apache и mariadb:10.4. docker внутри виртулки (virtualBox 5.2).

    Чисто гипотетически: что может произойти?

     
     
  • 2.15, Аноним (10), 14:10, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Твои апач, пых и мускуль будут работать не на тебя, а на дядю майнера. Это сейчас в тренде.
    Ну или по-старинке поддосят кого или пентагон через тебя ломанут.
     

  • 1.17, Онаним (?), 15:30, 27/04/2019 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +4 +/
     

     ....ответы скрыты (5)

  • 1.23, Аноним (23), 18:11, 27/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Самое главное не прояснили - были ли скомпромитированны образы.

    P.S. декерхабу не доверяю, образы из инета на компе не запускаю - in Docker s stands for "security".

     
     
  • 2.26, Аноним (26), 19:49, 27/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    держи нас в курсе
     
  • 2.31, Аноним (31), 00:04, 28/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Linux буквы s тоже нет. Зато она есть в Windows :)
     

  • 1.34, Аноним (34), 13:32, 28/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вы похоже не поняли проблемы, фишка в том, что  докер хаб просил токен для гитхаба с полным доступ и к ПРИВАТНЫМ репам тоже, так как он утек, то вполне могли быть украдены исходники  многих приватных реп, как то так.
     
     
  • 2.39, нах (?), 09:45, 29/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    а вот _этих_ ребят - мне нихрена как раз и не жалко.
    Может, наконец научатся соображать, что приватные - они при вас. Под замком и за периметром. И начнут, наконец, платить зарплаты админам, а не девляпать хапая с хапов все что под руку попадется. Ну, хотя бы отдельные единицы научатся, остальные-то постирают обгаженные штанцы, и дальше пойдут выкладывать все свое имущество на радость кому попало.

     

  • 1.36, Аноним (36), 14:41, 28/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    :) Из разговоров:
    - Внимание, комичу пароль в Гит. Нууууу, блин, нууу, не хочу учиться иначе уметь.

    Сколько ж их было встречено. Халтурщиков.

     
  • 1.42, Аноним (-), 19:07, 30/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот смех смехом, а мне поэтому и нравится LFS: прочитал в gnu-announce о новой версии софта, скачал, скомпилировал, заменил. Никакой зависимости от репозиториев, которые регулярно ломают. Да, это не полное решение проблемы, но гораздо лучше, чем пост-фактум узнавать об взломе инфраструкуры генты или дебиана, например. Для совсем параноиков есть доверенный компилятор-интерпретатор GNU Mes (ну вы поняли о чём я, почитайте если не в курсе что это за проект), плюс покоммитно патчь дерево каждой софтины, тогда вопрос репопроблемы вообще снимается (прочитал коммит, скачал, пропатчил). Единственное я конечно ленивый, но точно так буду делать в будущем. Сразу куча говна из системы вылетит. А пока на арче всё же.
     
     
  • 2.47, Аноним (8), 22:33, 05/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > гораздо лучше, чем пост-фактум узнавать об взломе инфраструкуры генты или дебиана, например

    Да, о взломе инфраструктур 100500 проектов, откуда ты тягаешь исходники, ты, скорее всего, не узнаешь.
    > Для совсем параноиков есть доверенный компилятор-интерпретатор GNU Mes (ну вы поняли о чём я, почитайте если не в курсе что это за проект)

    Поняли-поняли, диванный секурити-эксперт. Вот когда реально сделаешь всё то, о чём написал, приходи поделиться историей успеха.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру