Docker, araştırmacıların her birinin görsel olmadığını ve bunun yerine kötü amaçlı içeriğe bağlantılar içeren açık bir açıklama sayfası dışında hiçbir içeriğe sahip olmadığını keşfettikten sonra Docker, yaklaşık 3 milyon genel depoyu Docker Hub’dan kaldırdı.
JFrog araştırmacıları yakın zamanda yapılan bir araştırmada tehdidi tespit etti ve konteynerlerin spam ve kötü amaçlı yazılım dağıtmak için üç büyük ölçekli kampanyada kullanıldığını tespit etti. Docker, o zamandan beri görüntüsüz depoların açıklama sayfalarında harici kaynaklara bağlantıları önleyen yeni bir mekanizma başlattı.
Daha Fazla Denetleme Gerekli mi?
“Geliştiricileri ve kuruluşları doğrudan hedef alan tipik saldırıların aksine, bu vakada saldırganlar Docker Hub’ın platform güvenilirliğinden yararlanmaya çalıştı ve bu da kimlik avı ve kötü amaçlı yazılım yükleme girişimlerinin kimliğinin belirlenmesini zorlaştırdı.” JFrog dedi ki 30 Nisan tarihli bir raporda. “Bazıları üç yılı aşkın süredir aktif olan neredeyse 3 milyon kötü amaçlı veri deposu, saldırganların Docker Hub platformunu sürekli olarak kötüye kullandığını ve bu tür platformlarda sürekli denetim ihtiyacını vurguluyor.”
JFrog, beş yıllık bir süre boyunca Docker Hub’da yaklaşık 4,6 milyon görüntüsüz veri havuzunun yayınlandığını buldu. Bunların neredeyse tamamı doğası gereği kötü amaçlı meta verilerle ilişkilendirilmişti. JFrog araştırmacıları, saldırganların kötü amaçlı depoları yüklemek için kullandığı toplam 208.739 sahte hesap saydı.
JFrog’a göre, tehdit aktörlerine olanak tanıyan şey, kullanıcıların Docker Hub’da yayınladıkları konteyner görüntülerinin yanı sıra HTML formatında kısa metin açıklamaları ve meta veriler eklemelerine olanak tanıyan bir Docker politikasıydı. Bu açıklamalara izin verilmesindeki amaç, kullanıcıların bulut tabanlı kayıt defteri hizmetinde projeleri için yararlı bulabilecekleri görselleri aramalarına ve bulmalarına olanak sağlamaktır. Bu özellik, tehdit aktörlerinin resimsiz kaplar yüklemesine ve spam, kimlik avı ve kötü amaçlı yazılım sitelerine gömülü bağlantılar içeren açıklama sayfalarını nispeten kolay bir şekilde dahil etmesine olanak tanıdı.
Toplu yüklemeler, biri 2021’de ve diğeri 2023’te olmak üzere iki farklı dalga halinde gerçekleşti. JFrog araştırmacıları, kullanıcıların video oyunları için korsan içerik ve hileler indirmesini sağlamak amacıyla 2021’deki depo yüklemelerinin çoğunu bir kampanyaya bağlamayı başardı. Kampanyadaki URL’lerin çoğu, kötü amaçlı dosya indirmeye yönelik sitelere çözümlendi. Kötü amaçlı dosyaları barındıran bir sunucu kapatılırsa veya başka bir şekilde kullanılamaz hale gelirse, bağlantılar farklı bir etkin sunucuya çözümleniyordu. 2021’deki bir başka toplu yükleme, kredi kartı bilgilerini çalmak için tasarlanmış gibi görünen ücretsiz bir e-kitap kimlik avı kampanyasını içeriyordu.
Docker Hub’a 2023 yılında yapılan yüklemeler, korsan içerik ve video oyunu hilelerini içeren 2021 kampanyasının tekrarıydı. Ancak JFrog, depoların doğrudan kötü amaçlı kaynaklara işaret etmek yerine, kurbanları hızlı bir şekilde kötü amaçlı bir kaynağa yönlendiren meşru kaynaklara işaret ettiğini buldu. Örneğin blogger.com’daki bir sayfanın, ziyaretçileri kötü amaçlı yüke yönlendirmesi 500 milisaniyenin tamamını aldı.
JFrog ayrıca bir tehdit aktörünün üç yıl boyunca Docker Hub’a günde 1.000 veri deposu yüklediği üçüncü bir saldırıyı da ortaya çıkardı. JFrog, ilgili belgelerdeki içeriğin zararsız görünmesine rağmen, saikin açıkça kötü niyetli olduğunu söyledi. Şirket, tehdit aktörünün kötü niyetli bir kampanya başlatmadan önce bir tür stres testi yapıyor olabileceğini tahmin etti.
Politika Boşluklarından Yararlanmak
JFrog’un kötü amaçlı yazılım araştırma ekibi lideri Brian Moussalli, tehdit aktörlerinin saldırıları engelleyebilecek bir politikanın bulunmaması nedeniyle gerçekleştirebildiğini söyledi. “Saldırıları Docker Hub’a açıkladıktan sonra, görüntüsüz depoların açıklama sayfalarına harici kaynaklara giden bağlantıların yerleştirilmesini engelleyen bir koruma mekanizması uyguladılar” diyor.
Moussalli, kötü niyetli kampanyaların gerçekte ne kadar etkili olduğunu söylemenin zor olduğunu söylüyor. Ancak saldırganların, korsan içerik, video oyunu hileleri ve ücretsiz e-kitap arayan kullanıcıların şüphelenmemesi için, kötü amaçlı dosyalara bağlantılar içeren sayfaları barındırmak için Docker Hub gibi meşru bir siteyi kullanması muhtemeldir. Moussalli, “Başka bir seçenek de meşruiyet için Docker Hub’ı kullanıp bu sayfalara olan bağlantıları doğrudan mesaj yoluyla kurbanlara yaymaları olabilir” diyor. “Maalesef kurbanların bu bağlantılara tıklamaları için tam olarak nasıl yönlendirildiklerini belirleyemiyoruz.”
Docker’ın, depo oluşturma konusunda yeni kuralların yanı sıra toplu hesap oluşturma kısıtlamaları uygulayarak tehdit aktörleri için işleri zorlaştırabileceğini söylüyor. Örneğin, görselsiz veri havuzlarının oluşturulmasını yasaklayabilir veya hesabın veya veri havuzunun oluşturulmasından sonra bir süre yeni kullanıcıların harici bağlantılar yerleştirmesine izin vermeyebilir.
