Angriffe auf Docker-Hub – 3 Millionen Repositories kompromittiert

Aktuelle Untersuchungen des Forschungsteams von JFrog haben bedeutende Sicherheitsmängel auf Docker-Hub aufgedeckt, der weltweit führenden Plattform, die Entwicklern den Austausch und die Verbreitung von Docker-Images ermöglicht. Besonders alarmierend ist, dass fast 20 Prozent der öffentlichen Repositories, also etwa drei Millionen, mit schädlichem Inhalt verseucht sind. Diese erhebliche Anzahl an betroffenen Repositories zeigt das große Ausmaß der Sicherheitsrisiken auf und macht deutlich, wie dringend umfangreiche Schutzmaßnahmen benötigt werden, um die Nutzer der Plattform zu sichern.

Die Analyse hebt insbesondere drei umfangreiche Malware-Kampagnen hervor, die Millionen von Docker Hub-Repositories kompromittiert haben. Diese Repositories enthalten keine ausführbaren Container-Images, sondern sind stattdessen in schädliche Metadaten eingebettet. Obwohl Docker-Hub mehr als 15 Millionen Repositories beherbergt und eine wichtige Ressource für Entwickler darstellt, unterstreicht die Tatsache, dass Docker-Hub solchen Bedrohungen ausgesetzt ist, die dringende Notwendigkeit einer umfassenden Analyse von Angriffsmöglichkeiten, Identifizierungsmethoden und Schutzmaßnahmen, um die Branche vor weiteren Angriffen zu schützen.

 

Angriffsmethodik

Docker-Hub dient als Repository-System für Docker-Images, die für Entwickler zum Speichern und Teilen von containerisierten Anwendungen unerlässlich sind. Die Ergebnisse von JFrog zeigen jedoch, dass Millionen dieser Repositories „bildlos“ waren. Statt legitimer Docker-Images enthielten sie bösartige Metadaten, vor allem in Form von schädlicher HTML-Dokumentation, die darauf abzielte, Benutzer auf Phishing- oder Malware-verbreitende Websites umzuleiten.

Die Community-Funktionen der Plattform wurden zwar zur Förderung der Zusammenarbeit und Entdeckung entwickelt, erleichterten aber unbeabsichtigt diese Angriffe. Kriminelle Akteure nutzten die Möglichkeit aus, über Docker-Hub benutzerdefinierte HTML-Inhalte in die Repository-Dokumentation aufzunehmen. Durch diese Schwachstelle wurden Repositories zu einem Vektor für die Verbreitung von Malware, was ein kritisches Versäumnis bei der Moderation von Repository-Inhalten aufzeigte.

 

Faktoren, die den Angriff begünstigten

Mehrere Faktoren trugen zum Erfolg dieser Kampagnen bei:

  • Automatisierte Kontoerstellung: Die Angreifer setzten Bots ein, um Docker-Hub-Konten zu erstellen, was es ihnen ermöglichte, in kürzester Zeit eine große Anzahl bösartiger Repositories hochzuladen.
  • Die Komplexität der Überprüfung von Benutzerinhalten: Die offene Natur von Docker-Hub, die den Austausch und die Innovation fördern soll, macht es zu einer Herausforderung, alle von Benutzern eingereichten Inhalte effektiv zu überwachen und zu moderieren.
  • Mangel an wirksamen Erkennungsinstrumenten: Zum Zeitpunkt der Angriffe gab es keine ausreichenden Tools, um die eingebetteten bösartigen Inhalte in der HTML-Dokumentation automatisch zu erkennen.

 

Identifizierung von bösartigen Repositories

Das Sicherheitsteam von JFrog wandte einen methodischen Ansatz an, um diese versteckten Bedrohungen aufzudecken. Sie begannen mit der Analyse der Veröffentlichungsmuster von Repositories auf Docker-Hub und identifizierten Anomalien wie Injektionen bei der Erstellung von Repositories, die nicht den typischen täglichen oder wöchentlichen Aktivitätsmustern folgten. Die meisten dieser Anomalien wurden mit „bildlosen“ Repositories in Verbindung gebracht.

Darüber hinaus setzten sie fortschrittliche Scan-Tools ein, um den HTML-Inhalt dieser Repositories zu untersuchen. Durch die Analyse der HTML-Dokumentation auf externe Links und ungewöhnliche Weiterleitungsmuster konnten sie die Repositories als bösartig kennzeichnen. Dieses proaktive Scannen half dabei, schädliche Repositories zu katalogisieren und das Ausmaß des Problems nachzuvollziehen.

 

Analyse der Malware-Kampagnen

Die Untersuchung ergab mehrere unterschiedliche Malware-Kampagnen:

  • Downloader-Kampagne: Es handelte sich um Repositories mit SEO-optimierten Beschreibungen, die Downloads für raubkopierte Inhalte oder Software anboten. Links in diesen Repositories führten zu Websites, auf denen Malware gehostet wurde, die als legitime Software-Downloads getarnt waren. Die Kampagne verwendete gefälschte URL-Verkürzungen, um die Erkennung zu umgehen und die Benutzer auf andere bösartige Domänen umzuleiten, wenn die vorherigen geschlossen wurden.
  •  eBook-Phishing-Kampagne: Repositories versprachen kostenlose eBook-Downloads, leiteten die Nutzer aber auf Phishing-Seiten um, die Kreditkarteninformationen stahlen. Diese Kampagne zielte auf Benutzer ab, indem sie ihnen begehrenswerte Inhalte anbot, um sie dadurch dazu zu verleiten, sensible Finanzdaten anzugeben.
  • Website-SEO-Kampagne: Bei dieser weniger schädlichen Kampagne wurden Repositories für SEO-Manipulationen verwendet. Dabei wurden zahlreiche Repositories mit unsinnigen Namen und zufälligen Beschreibungen erstellt, um die Grenzen der Plattform zu testen oder die Suchmaschinenplatzierung anderer Seiten zu verbessern.

Die Entdeckung eines derart umfangreichen Missbrauchs von Docker-Hub unterstreicht die Anfälligkeit von Softwareverteilungsplattformen für Cyberbedrohungen und verdeutlicht die Notwendigkeit robuster Sicherheitsprotokolle. Unternehmen müssen nun ihre Abhängigkeit von öffentlichen Repositories für Docker-Images überdenken und sich der potenziellen Risiken für ihren Betrieb und ihren Ruf bewusst sein.

 

Gegenmaßnahmen und proaktive Verteidigung

Als Reaktion auf diese Erkenntnisse sollten Unternehmen eine mehrschichtige Sicherheitsstrategie anwenden:

  • Verbesserte Überprüfungsprozesse: Strenge Überprüfungen der Herkunft und Integrität der in Unternehmensprojekten verwendeten Docker-Images sind unerlässlich.
  • Regelmäßige Sicherheitsschulungen: Es gilt Mitarbeiter über die Risiken im Zusammenhang mit Drittanbieter-Repositories aufzuklären und ihnen Best-Practices für eine sichere Nutzung vorzugeben.
  • Einsatz von Sicherheitssoftware: Der Einsatz von Sicherheitstools, die nach Schwachstellen suchen und bekannte bösartige Websites und Downloads automatisch blockieren, wird empfohlen.
  • Zusammenarbeit mit Plattformanbietern: Unternehmen sollten mit Plattformen wie Docker-Hub zusammenarbeiten, um Schwachstellen zu melden und Informationen über neue Bedrohungen auszutauschen.

 

Blick in die Zukunft

Da Docker-Hub weiterhin eine entscheidende Rolle im Entwickler-Ökosystem spielt, müssen die Sicherheitspraktiken weiterentwickelt werden, um diese Schwachstellen zu entschärfen. Die Zusammenarbeit zwischen JFrog und Docker und die vorgeschlagenen proaktiven Maßnahmen sind wichtige Schritte zur Sicherung der Software-Lieferkette gegen hochentwickelte Cyber-Bedrohungen. Die Tech-Community muss wachsam bleiben und die Sicherheitsmaßnahmen kontinuierlich verbessern, um sich gegen die sich ständig weiterentwickelnde Landschaft von Cyberrisiken zu schützen. Durch Sorgfalt, Innovation und Zusammenarbeit können wir unsere digitalen Infrastrukturen schützen und das Vertrauen in die Plattformen erhalten, die unseren technologischen Fortschritt unterstützen.

Info: Weitere Einzelheiten zu dieser und weiteren Untersuchungen des JFrog Security Research Teams finden sich hier; https://jfrog.com/blog/attacks-on-docker-with-millions-of-malicious-repositories-spread-malware-and-phishing-scams/

#JFrog