Ən populyar Docker şəkillərinin 19%-nin kök parolu yoxdur

Keçən şənbə, 18 May, Kenna Security-dən Jerry Gamblin yoxlanılır Docker Hub-dan istifadə etdikləri kök parola əsaslanan 1000 ən populyar şəkillər. 19% hallarda boş idi.

Alp dağları ilə fon

Mini-tədqiqatın səbəbi bu ayın əvvəlində ortaya çıxan Talos Zəiflik Hesabatı idi (TALOS-2019-0782), müəllifləri - Cisco Umbrella-dan Peter Adkinsin kəşfi sayəsində - məşhur Alp konteyner paylanması ilə Docker şəkillərinin kök parolunun olmadığını bildirdi:

“Alpine Linux Docker şəkillərinin rəsmi versiyaları (v3.3-dən bəri) kök istifadəçi üçün NULL parol ehtiva edir. Bu zəiflik 2015-ci ilin dekabrında tətbiq edilən reqressiya nəticəsində yaranıb. Bunun mahiyyəti ondan ibarətdir ki, konteynerdə Alpine Linux-un problemli versiyaları ilə yerləşdirilən və Linux PAM və ya sistem kölgə faylını autentifikasiya verilənlər bazası kimi istifadə edən başqa mexanizmdən istifadə edən sistemlər kök istifadəçi üçün NULL parol qəbul edə bilər.”

Problem üçün sınaqdan keçirilmiş Alp ilə Docker şəkillərinin versiyaları 3.3-3.9 daxil olmaqla, həmçinin Edge-in ən son buraxılışı idi.

Müəlliflər təsirə məruz qalan istifadəçilər üçün aşağıdakı tövsiyələri verdilər:

“Alpinin problemli versiyalarından qurulmuş Docker şəkillərində kök hesab açıq şəkildə deaktiv edilməlidir. Zəifliyin ehtimal olunan istismarı ətraf mühitdən asılıdır, çünki onun müvəffəqiyyəti Linux PAM və ya digər oxşar mexanizmdən istifadə edən xaricdən göndərilən xidmət və ya proqram tələb edir."

Problem onda idi aradan qaldırıldı Alp versiyalarında 3.6.5, 3.7.3, 3.8.4, 3.9.2 və kənar (20190228 snapshot) və təsirə məruz qalan şəkillərin sahiblərindən kökü olan xətti şərh etmələri istəndi. /etc/shadow və ya paketin olmadığından əmin olun linux-pam.

Docker Hub ilə davam edir

Jerry Gamblin "konteynerlərdə null parollardan istifadə təcrübəsinin nə qədər yaygın ola biləcəyi" ilə maraqlanmağa qərar verdi. Bu məqsədlə kiçik bir əsər yazdı Bash skripti, mahiyyəti çox sadədir:

• Docker Hub-da API-yə curl sorğusu vasitəsilə orada yerləşdirilən Docker şəkillərinin siyahısı tələb olunur;
• jq vasitəsilə sahəyə görə sıralanır popularity, və əldə edilən nəticələrdən ilk min qalır;
• onların hər biri üçün yerinə yetirilir docker pull;
• Docker Hub-dan alınan hər bir şəkil yerinə yetirilir docker run fayldan birinci sətri oxumaqla /etc/shadow;
• sətirin dəyəri bərabər olarsa root:::0:::::, şəklin adı ayrıca faylda saxlanılır.

Nə olub? IN bu fayl Kök istifadəçinin parol təyin etmədiyi Linux sistemləri ilə məşhur Docker şəkillərinin adları ilə 194 sətir var idi:

“Bu siyahıda ən tanınmış adlar arasında govuk/governmentpaas, hashicorp, microsoft, monsanto və mesosphere var. Və kylemanna/openvpn siyahıdakı ən populyar konteynerdir, onun statistikası 10 milyondan çox çəkilişdir.

Bununla belə, xatırlatmaq lazımdır ki, bu fenomen özlüyündə onlardan istifadə edən sistemlərin təhlükəsizliyində birbaşa zəiflik demək deyil: hamısı onların necə dəqiq istifadə olunduğundan asılıdır. (yuxarıdakı Alp hadisəsindən şərhə baxın). Bununla belə, biz “hekayənin əxlaqını” dəfələrlə görmüşük: görünən sadəliyin tez-tez mənfi cəhətləri var, bunu həmişə yadda saxlamaq lazımdır və bunun nəticələri texnologiyanın tətbiqi ssenarilərində nəzərə alınır.

PS

Bloqumuzda da oxuyun:

• «Docker Hub-dakı şəkillərdə əsas əməliyyat sistemləri ilə bağlı statistika";
• «Təhlükəsizlik tələb edən mühitlərdə Docker və Kubernetes";
• «Sizə hostda kök hüquqları əldə etməyə imkan verən runc-da CVE-2019-5736 zəifliyi";
• «Zəif Docker VM - Docker və pentestinq üçün tapmacalı virtual maşın.

Mənbə: www.habr.com