Docker: cuidado con las descargas, incluso de sitios legítimos
Hay mil razones que explican la popularización de Docker y los contenedores para el despliegue de aplicaciones. Sus posibilidades de escalar horizontal y verticalmente, la fiabilidad y seguridad, la consistencia en distintos despliegues, la posibilidad de reutilizar código de una manera muy sencilla… es perfectamente comprensible que sean tan positivamente valorados y que, en consecuencia, ya hayan sido adoptados en muchos entornos de trabajo, especialmente en aquellos que se rigen por paradigmas actuales, como DevOps.
Esto no significa, sin embargo, que se pueda descargar y emplear imágenes a la ligera. Ya te alertamos de este riesgo hace unos años, cuando empezaron a darse los primeros casos de imágenes de Docker manipuladas malintencionadamente, en aquel caso para poner los recursos de la máquina al servicio de la minería de criptomonedas. Obviamente, el resultado de dichas tareas iría dirigido al creador de la imagen, no a los desafortunados usuarios de las mismas.
Y hoy sabemos, gracias a una investigación de Aqua Security, de un nuevo caso en el que un repositorio de imágenes para Docker, de nuevo subidas a Docker Hub, han tenido que ser eliminadas por contener malware. En total, las cinco imágenes identificadas y eliminadas habrían sido descargadas más de 120.000 veces.
Esto, por sí mismo, ya es preocupante, pero la situación podría ser aún peor, pues los investigadores apuntan a que estas cinco imágenes de Docker podrían formar parte de un plan a mayor escala, dirigido a comprometer la cadena de suministros. Un tipo de amenaza del que hemos hablado largo y tendido estos últimos meses, y que se ha mostrado terriblemente efectivo, haciendo tambalearse por completo políticas de seguridad que dábamos por válidas hasta hace poco tiempo.
Es importante aclarar, eso sí, que de momento se trata de una sospecha, puesto que el malware encontrado en las cinco imágenes de Docker, y denominado Xmrig, sirve precisamente al mismo propósito que el del caso del que ya te hablamos hace unos años: es un criptominero dedicado a Monero, que consume tantos recursos del sistema afectado como le resulta posible. Sin embargo, pese a que coinciden en este punto, los investigadores diferencian entre dos grupos.
Tres de las imágenes (thanhtudo, thieunutre y chanquaa) instalan xmrig utilizando un script de Python llamado dao.py, que ya se utilizó en una imagen de Docker maliciosa previamente descubierta llamada azurenql, y que fue descargada más de un millón y medio de veces. Estas tres imágenes se basan en errores ortográficos para engañar a los usuarios para que las descarguen. Los investigadores consideran que estas tres imágenes se limitan a la minería.
Las otras dos imágenes maliciosas de Docker, openjdk y golang, intentan engañar a los usuarios haciéndoles creer que son imágenes para la implementación de código abierto de Java OpenJDK y el lenguaje de programación de código abierto Go. Son estos los que probablemente forman parte de un ataque a la cadena de suministro. Así, si has llevado a cabo un despliegue basado en Docker y relacionado con estas tecnologías, lo más seguro es que lo revises de inmediato.
Cunado los ciberdelincuentes suben imágenes con malware a Docker Hub, se aprovechan de la falsa sensación de seguridad que tienen los usuarios que descargan imágenes desde allí. Así, esto debe servirnos como recordatorio de que, incluso si el origen es legítimo, el contenido puede no serlo, y que por lo tanto debemos extremar el cuidado cada vez que añadimos una nueva pieza con origen externo en nuestra infraestructura.
