Cybersicherheitsforscher haben eine aktive Kampagne gegen das offizielle Docker-Hub-Repository checkmarx/kics entdeckt. Laut einer Warnung der Firma Socket gelang es unbekannten Akteuren, legitime Tags wie v2.1.20 und alpine zu überschreiben und zusätzlich einen gefälschten Tag v2.1.21 zu erstellen. Der Vorfall offenbart Risiken in der Software-Lieferkette und betrifft Teams, die blind auf offizielle Images vertrauen.
Wie der Angriff funktioniert und welche Tags kompromittiert sind 🛡️
Der Angriff nutzt die Möglichkeit aus, bestehende Tags in Docker Hub zu überschreiben, ohne dass ein neuer Release erforderlich ist. Die Tags v2.1.20 und alpine wurden durch bösartige Versionen ersetzt, während der Tag v2.1.21 keiner offiziellen Checkmarx-Veröffentlichung entspricht. Socket empfiehlt, den Hash der heruntergeladenen Images zu überprüfen und die Verwendung der Tags latest oder alpine bis auf Weiteres zu vermeiden. Der Vorfall erinnert an die Bedeutung der Image-Signierung und der Verwendung unveränderlicher Referenzen wie SHA256.
Der Angriff, der einen Container in einen Überraschungscontainer verwandelt 😅
Denn es gibt nichts Schöneres, als aufzuwachen, ein docker pull auszuführen und festzustellen, dass dein Sicherheits-Image jetzt mit einem Extra an Malware daherkommt. Die Angreifer haben offenbar entschieden, dass der Tag alpine einen etwas... alpineren Touch brauchte. Das Schlimmste ist, dass der Tag v2.1.21 so offiziell klingt, dass selbst KICS selbst verwirrt gewesen wäre. Gut, dass es nur eine Warnung ist; wir werden beim nächsten Patch sehen, ob wir den Cluster desinfizieren oder das Hobby wechseln müssen.