4백만 Docker 이미지 스캔 결과, 51%가 치명적인 취약점 갖고 있어

A scan of 4 Million Docker images reveals 51% have critical flaws

 

컨테이너 보안 회사인 Prevasio가 Docker Hub에 호스팅된 공개 Docker 컨테이너 이미지 400만 건을 분석한 결과 이 중 대부분이 심각한 취약점을 가지고 있음을 발견했습니다.

 

이 보안 회사는 한달 동안 기기 800대에서 Prevasio Analyzer 서비스를 실행했습니다.

 

400만 이미지의 약 51%는 최소한 하나 이상의 심각한 취약점이 포함된 패키지나 앱 종속성을 포함하고 있었으며, 13%는 위험도 높은 취약점을 포함하고 있었습니다.

 

“동적 분석 결과, 악성 이미지와 잠재적으로 유해한 컨테이너 이미지 5,432건이 발견되어 Docker Hub에 공개된 전체 이미지의 약 0.16%를 차지했습니다.”

 

연구원들은 리눅스 컨테이너 이미지만 중점적으로 분석했기 때문에 윈도우용으로 빌드되거나 리눅스 전용 빌드가 없었던 전체 이미지의 약 1%가 분석에서 제외되었다고 설명했습니다.

 

또한 연구원들은 잠재적 악성 소프트웨어를 포함한 이미지 6,432개를 발견했습니다. 이 악성 소프트웨어에는 가상화폐 채굴기(2,842 이미지, 44%), 해킹 툴(1,269 이미지, 20%), 악성 npm 패키지 flatmap-stream (1,482 이미지, 23%), 감염된 애플리케이션(트로이목마화된 Wordpress 플러그인, Apache Tomcat, Jenkins)이 포함됩니다.

 

 

<이미지 출처: https://prevasio.com/static/web/viewer.html?file=/static/Red_Kangaroo.pdf>

 

 

악성 또는 잠재적으로 유해한 이미지의 pull 수는 총 3억이 넘었습니다.

 

일부 이미지는 가상화폐 마이너 소스코드를 다운로드하여 실행하는 동적 페이로드를 포함하고 있었습니다.

 

전문가들은 현재 이미지에서 발견된 대부분의 악성코드가 윈도우를 노리고 있다고 지적했습니다.

“Prevasio의 조사 결과, Linux OS 및 Linux 컨테이너가 보안 위험에 면역인 것은 아니라는 사실을 알 수 있었습니다.”

“연구 결과 주요 보한 위협은 치명적인 취약점으로 인해 발생한다는 사실을 알 수 있었습니다. Docker Hub에서 호스팅하는 모든 컨테이너의 절반 이상이 하나 이상의 취약점을 포함하고 있었기 때문에 잠재적으로 악용이 가능한 상태입니다.”

“또 다른 위험은 공개적으로 접근이 가능한 이미지 4백만 개 중 5,432개가 악성 또는 잠재적으로 유효한 코드를 포함하고 있다는 사실입니다.”

 

 

 

출처:

https://securityaffairs.co/wordpress/111833/hacking/docker-hub-scan-analysis.html

https://prevasio.com/static/web/viewer.html?file=/static/Red_Kangaroo.pdf

https://eclypsium.com/2020/12/03/trickbot-now-offers-trickboot-persist-brick-profit/