{"id":23025,"date":"2025-09-05T08:00:00","date_gmt":"2025-09-05T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23025"},"modified":"2025-08-18T11:20:16","modified_gmt":"2025-08-18T14:20:16","slug":"backdoor-ameaca-imagens-docker","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/09\/exploits\/backdoor-ameaca-imagens-docker\/","title":{"rendered":"Backdoor amea\u00e7a imagens Docker"},"content":{"rendered":"\n

Backdoor residual amea\u00e7a imagens Docker antigas no Docker Hub<\/strong><\/p>\n

Uma falha severa conhecida como backdoor XZ-Utils<\/strong>, identificada primeiramente em mar\u00e7o de 2024, ainda persiste em ao menos 35 imagens Linux dispon\u00edveis no Docker Hub. Isso representa uma amea\u00e7a consider\u00e1vel, pois pipelines de CI\/CD, ambientes de produ\u00e7\u00e3o e desenvolvedores frequentemente utilizam essas imagens \u2014 se elas est\u00e3o comprometidas, o perigo \u00e9 herdado por todas as builds subsequentes.<\/p>\n

\u00a0<\/p>\n

Origem e mec\u00e2nica da amea\u00e7a: comprometimento em cadeia de suprimentos<\/strong><\/p>\n

A backdoor foi inserida intencionalmente na biblioteca liblzma.so<\/code> do pacote xz-utils<\/code> (vers\u00f5es 5.6.0 e 5.6.1), via um colaborador de confian\u00e7a identificado como “Jia Tan”. A falha explorava o mecanismo IFUNC do glibc e se conectava \u00e0 fun\u00e7\u00e3o RSA_public_decrypt<\/code> do OpenSSH. Se o servi\u00e7o sshd<\/code> estivesse ativo em um cont\u00eainer impactado, um atacante poderia utilizar uma chave privada especial para burlar a autentica\u00e7\u00e3o SSH e executar comandos remotos como root.<\/p>\n

\u00a0<\/p>\n

Perigo prolongado: imagens infectadas permanecem dispon\u00edveis<\/strong><\/p>\n

Apesar da descoberta, muitas dessas imagens comprometidas continuam dispon\u00edveis publicamente no Docker Hub. O Debian \u2014 respons\u00e1vel por algumas delas \u2014 optou por deix\u00e1-las acess\u00edveis como artefatos hist\u00f3ricos, justificando que os requisitos para explora\u00e7\u00e3o s\u00e3o pouco prov\u00e1veis (presen\u00e7a de sshd<\/code>, acesso \u00e0 rede e posse da chave correta). No entanto, essa decis\u00e3o foi criticada por permitir o uso inadvertido dessas imagens em ambientes automatizados.<\/p>\n

\u00a0<\/p>\n

Mitiga\u00e7\u00e3o recomendada: verifica\u00e7\u00e3o e atualiza\u00e7\u00e3o obrigat\u00f3rias<\/strong><\/p>\n

Especialistas da Binarly recomendam fortemente que usu\u00e1rios evitem essas imagens antigas. Para se proteger, \u00e9 necess\u00e1rio garantir que a vers\u00e3o da biblioteca xz-utils<\/code> seja atualizada \u2014 preferencialmente a 5.6.2 ou superior (a vers\u00e3o mais recente \u00e9 a 5.8.1). Usar vers\u00f5es modernas e verificar manualmente os componentes das imagens antes de adot\u00e1-las em produ\u00e7\u00e3o \u00e9 fundamental.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/strong><\/p>\n

A presen\u00e7a cont\u00ednua da backdoor XZ-Utils<\/strong> em imagens Docker antigas \u00e9 um alerta sobre os riscos persistentes na cadeia de suprimentos de software. Mesmo com o comprometimento corrigido nas vers\u00f5es recentes, as imagens legadas mantidas no Docker Hub continuam oferecendo uma porta de entrada para invasores \u2014 especialmente em ambientes automatizados que confiam cegamente em imagens p\u00fablicas. A defesa mais eficaz exige verifica\u00e7\u00e3o ativa das vers\u00f5es utilizadas<\/strong>, atualiza\u00e7\u00e3o imediata dos pacotes comprometidos e sensibilidade ao hist\u00f3rico de imagens antes de incorpor\u00e1-las em pipelines ou ambientes sens\u00edveis.<\/p>\n

\u00a0<\/p>\n

Refer\u00eancias Bibliogr\u00e1ficas<\/strong><\/p>\n