Компанія Socket, що спеціалізується на безпеці ланцюга постачання програмного забезпечення, повідомила про виявлення зловмисних образів у офіційному репозиторії Docker Hub «checkmarx/kics». Невідомі зловмисники зуміли перезаписати існуючі теги, зокрема v2.1.20 та alpine, а також додали новий тег v2.1.21, який не відповідає жодному офіційному випуску. Цей інцидент свідчить про успішну атаку на ланцюг постачання, метою якої є поширення шкідливого програмного забезпечення через довірені канали.
KICS (Keep Infrastructure as Code Secure) – це популярний інструмент статичного аналізу коду для Infrastructure as Code (IaC), який широко використовується розробниками для виявлення вразливостей у конфігураціях хмарних ресурсів та інфраструктури. Компрометація його офіційних Docker-образів є вкрай небезпечною, оскільки ці образи часто інтегруються безпосередньо в CI/CD конвеєри розробки.
- Маніпуляція тегами: Зловмисники скористалися можливістю перезаписувати теги в Docker Hub, що дозволило їм замінити легітимні версії образів на модифіковані, які містять шкідливий код.
- Неофіційний випуск: Введення тегу
v2.1.21, що не має офіційного відповідника, є додатковим індикатором компрометації та спроби замаскувати зловмисну діяльність. - Потенційний вплив: Будь-яка система, що автоматично завантажувала або оновлювала образи KICS з ураженими тегами, могла інфікуватися шкідливим програмним забезпеченням. Це може призвести до компрометації середовищ розробки, витоку даних або подальших атак на інфраструктуру.
Цей інцидент становить пряму загрозу для широкого кола користувачів та організацій:
- Розробники та DevOps-інженери: Особливо ті, хто використовує Checkmarx KICS для аналізу IaC та інтегрує його Docker-образи у свої CI/CD пайплайни.
- Організації, що використовують IaC: Компанії, які покладаються на Infrastructure as Code для управління своєю інфраструктурою, можуть бути вразливими, якщо їхні процеси розгортання використовують скомпрометовані образи KICS.
- Користувачі, які завантажували уражені теги: Будь-хто, хто завантажував образи з тегами
v2.1.20,alpineабоv2.1.21з репозиторію «checkmarx/kics» після дати компрометації, має вважати свої системи потенційно скомпрометованими. - Усі, хто покладається на публічні репозиторії: Інцидент є нагадуванням про ризики використання сторонніх компонентів без належної перевірки їхньої цілісності та походження.
Для мінімізації ризиків та захисту від подібних атак Cyber Index UA рекомендує:
- Негайна перевірка: Перевірте цілісність усіх розгорнутих образів KICS Docker. Використовуйте лише офіційні джерела та перевіряйте контрольні суми (хеші) образів.
- Використання фіксованих хешів: Замість використання змінних тегів (наприклад,
latest,alpine) у продакшен-середовищах, завжди вказуйте повні хеші (SHA256) Docker-образів. Це гарантує, що ви завжди використовуєте конкретну, незмінну версію. - Сканування образів: Регулярно скануйте всі Docker-образи на наявність вразливостей та шкідливого програмного забезпечення за допомогою інструментів безпеки контейнерів.
- Посилення безпеки ланцюга постачання: Впроваджуйте суворі політики безпеки для ланцюга постачання ПЗ (Software Supply Chain Security), включаючи підписання образів, перевірку їхнього походження та моніторинг репозиторіїв.
- Оновлення та моніторинг: Слідкуйте за офіційними повідомленнями від Checkmarx та Socket щодо цього інциденту. Оновіть KICS до останньої офіційної та перевіреної версії, як тільки вона буде доступна та підтверджена як безпечна.