Исследователи из компании Prevasio изучили 4 000 000 общедоступных образов Docker, размещенных на Docker Hub, и обнаружили, что более половины из них имеют критические уязвимости, а несколько тысяч образов содержат вредоносные или потенциально опасные элементы.
Для анализа специалисты воспользовались собственным сервисом Prevasio Analyzer, которому пришлось работать без остановки в течение месяца на 800 машинах.
Анализ выявил, что 51% от 4 000 000 изученных образов содержат пакеты или зависимости по меньшей мере с одной критической уязвимостью, а еще 13% уязвимы перед багами высокой степени серьезности.
Примерно 6400 образов (0,16% от общего числа) были классифицированы как вредоносные или потенциально опасные из-за наличия в их составе вредоносных программ, майнеров криптовалюты, хакерских инструментов, вредоносного пакета npm (flatmap-stream) и троянских приложений. Хуже того, оказалось, что все эти образы были загружены более 300 000 000 раз.
Майнеры криптовалют были обнаружены в 44% из 6400 контейнеров. Хотя во многих случаях разработчики честно сообщают, что их образы содержат майнеры, порой майнеры бывают скрыты.
«Вне зависимости от первоначальных намерений, если сотрудник какой-либо компании воспользуется Docker Hub, а затем запустит образ с майнером на работе, существует высокая вероятность того, что ресурсы компании будут использованы не так, как предполагалось изначально. Системный администратор может счесть такие образы контейнеров нежелательными для корпоративной среды или даже потенциально опасными», — пишут специалисты.
Также во время исследования были обнаружены образы с динамическими полезными нагрузками, то есть сам исходный образ не содержал ничего вредоносного, однако позже сходный код майнера загружался, компилировался и выполнялся специальным скриптом.
