去年3月,名为XZ Utils程序库发生被植入隐秘后门的供应链攻击事件,震惊软件开发界与安全界,当时刚好有研究人员偶然发现异状,才让后门程序代码被揪出,使得受影响范围并未持续扩大,初估评估仅有部分Linux版本受到影响,这起事故后来被登记为CVE-2024-3094的满分漏洞。如今有安全企业披露新的调查结果,他们发现有Docker镜像文件遭到这项后门入侵。
安全企业Binarly指出,他们发现有一批在上述供应链攻击期间创建的Docker镜像文件,也存在这个后门程序,值得留意的是,部分镜像文件仍能在Docker Hub公开取得,一旦其他人以这些镜像文件为基础打造新的文件,他们的镜像文件恐怕也同样存在相同的后门。这起调查结果,代表即便后门程序代码出现的时间相当短暂,但有可能在不被注意的情况下,在容器存储库潜伏相当长的时间。
针对该公司调查此事的动机,他们向安全新闻网站The Hacker News透露,起因是在客户的环境侦测到相关的恶意程序代码,经过进一步调查,发现有问题的镜像文件是从Docker Hub拉取而得。
Binarly一共找到35个存在后门程序的镜像文件,乍看之下,这样的数量并不多,但该公司强调,他们只有针对一部分在Docker Hub发布的镜像文件进行检查,并且关注Debian镜像文件,原因是这类文件在Docker Hub上保留历史记录数据。除此之外,若是以其他受到XZ Utils影响的Linux发行版,例如:Fedora、OpenSUSE等,所打造的Docker镜像文件,是否也存在这样的风险,因为缺乏相关数据可供追查,目前仍不得而知问题有多严重。
该公司起初找到12个有问题的Debian镜像文件,并试图对于其他以这些有问题镜像文件为基础进行开发的“二阶镜像文件(second-order image)”进行调查,最终找到35个镜像文件,并向维护者进行通报。
然而,不少维护团队认为,存在风险的镜像文件皆为过时版本,用户大多习于采用最新版本的文件,因此冲击不大,他们仍决定保留这些旧版本。但Binarly指出,尽管利用后门需具备一定的条件,留存这种带有后门的镜像文件,还是有安全风险,后续情形相当值得关注。
