VietNetwork.Vn

Một nghiên cứu mới đã phát hiện ra các hình ảnh Docker trên Docker Hub có chứa backdoor XZ Utils khét tiếng, hơn một năm sau khi phát hiện ra sự cố.

Binarly REsearch cho biết trong một báo cáo chia sẻ với The Hacker News rằng điều đáng lo ngại hơn là các hình ảnh khác đã được xây dựng dựa trên các hình ảnh cơ sở bị nhiễm này, khiến cho quá trình lây nhiễm tiếp tục diễn ra theo cách gián tiếp.


Công ty bảo mật phần mềm cho biết họ đã phát hiện tổng cộng 35 hình ảnh được gửi kèm với backdoor. Sự cố này một lần nữa làm nổi bật những rủi ro mà chuỗi cung ứng phần mềm phải đối mặt.

Alex Matrosov của Binarly chia sẻ với ấn phẩm này rằng cuộc điều tra được tiến hành sau khi phát hiện mã độc trong một trong những môi trường của khách hàng, cuối cùng phát hiện ra rằng hình ảnh đã bị kéo khỏi Docker Hub.

Sự kiện chuỗi cung ứng XZ Utils (CVE-2024-3094, điểm CVSS: 10.0) được phát hiện vào cuối tháng 3 năm 2024, khi Andres Freund gióng lên hồi chuông cảnh báo về một cửa hậu được nhúng trong XZ Utils phiên bản 5.6.0 và 5.6.1.

Phân tích sâu hơn về mã độc và sự xâm phạm rộng hơn đã dẫn đến một số khám phá đáng kinh ngạc, đầu tiên và quan trọng nhất là cửa hậu có thể dẫn đến truy cập từ xa trái phép và cho phép thực thi các tải trọng tùy ý thông qua SSH.

Cụ thể, backdoor – được đặt trong thư viện   Đăng nhập để xem liên kết và được máy chủ OpenSSH sử dụng – được thiết kế sao cho có thể kích hoạt khi máy khách tương tác với máy chủ SSH bị nhiễm.

Binarly giải thích: "Bằng cách chiếm đoạt hàm RSA_public_decrypt bằng cơ chế IFUNC của glibc, mã độc hại cho phép kẻ tấn công sở hữu khóa riêng cụ thể bỏ qua xác thực và thực thi lệnh root từ xa".

Phát hiện thứ hai là những thay đổi này được thúc đẩy bởi một nhà phát triển có tên "Jia Tan" (JiaT75), người đã dành gần hai năm đóng góp cho dự án nguồn mở để xây dựng lòng tin cho đến khi họ được giao trách nhiệm bảo trì, cho thấy bản chất tỉ mỉ của cuộc tấn công.

"Đây rõ ràng là một hoạt động do nhà nước tài trợ rất phức tạp, với sự tinh vi ấn tượng và kế hoạch kéo dài nhiều năm", Binarly nhận định vào thời điểm đó. "Một khuôn khổ cấy ghép toàn diện, phức tạp và được thiết kế chuyên nghiệp như vậy không thể được phát triển cho một ca phẫu thuật một lần."

Nghiên cứu mới nhất từ công ty cho thấy tác động của sự cố này vẫn tiếp tục gây ra dư chấn trong hệ sinh thái nguồn mở ngay cả sau nhiều tháng.

Điều này bao gồm việc phát hiện ra 12 hình ảnh Debian Docker có chứa một trong những cửa hậu XZ Utils và một tập hợp hình ảnh bậc hai khác bao gồm các hình ảnh Debian bị xâm phạm.

Binarly cho biết họ đã báo cáo các hình ảnh cơ sở cho nhóm bảo trì Debian, những người này cho biết họ đã "có chủ ý lựa chọn giữ lại các hiện vật này như một sự tò mò lịch sử, đặc biệt là khi xem xét các yếu tố cực kỳ khó xảy ra sau đây (trong các trường hợp sử dụng container/hình ảnh container) cần thiết cho việc khai thác".

Tuy nhiên, công ty chỉ ra rằng việc để các hình ảnh Docker công khai có chứa cửa hậu có thể truy cập qua mạng tiềm ẩn rủi ro bảo mật đáng kể, bất chấp các tiêu chí cần thiết để khai thác thành công - cần có quyền truy cập mạng vào thiết bị bị nhiễm với dịch vụ SSH đang chạy.

Docker cho biết thêm: "Sự cố cửa hậu xz-utils chứng minh rằng ngay cả mã độc tồn tại trong thời gian ngắn cũng có thể không bị phát hiện trong các hình ảnh container chính thức trong một thời gian dài và có thể lây lan trong hệ sinh thái Docker".

"Sự chậm trễ này nhấn mạnh cách các hiện vật này có thể âm thầm tồn tại và lan truyền qua các đường ống CI và hệ sinh thái container, củng cố nhu cầu quan trọng về giám sát liên tục ở cấp độ nhị phân ngoài việc theo dõi phiên bản đơn giản."