19% di l'imaghjini Docker più populari ùn anu micca una password di root

U sabbatu passatu, u 18 di maghju, Jerry Gamblin di Kenna Security verificatu 1000 di l'imaghjini più populari da Docker Hub basatu nantu à a password di root chì utilizanu. In u 19% di i casi era viotu.

Sfondate cù Alpine

U mutivu di a mini-ricerca era u Talos Vulnerability Report chì apparsu prima di stu mese (TALOS-2019-0782), l'autori di quale - grazia à a scuperta di Peter Adkins da Cisco Umbrella - anu infurmatu chì l'imaghjini di Docker cù a famosa distribuzione di cuntainer Alpine ùn anu micca una password di root:

"Le versioni ufficiali di l'imaghjini Alpine Linux Docker (dapoi v3.3) cuntenenu una password NULL per l'utilizatore root. Questa vulnerabilità hè risultatu da una regressione introdutta in dicembre 2015. L'essenza di questu hè chì i sistemi implementati cù versioni problematiche di Alpine Linux in un containeru è chì utilizanu Linux PAM o un altru mecanismu chì usa u schedariu d'ombra di u sistema cum'è una basa di dati di autentificazione pò accettà una password NULL per l'utilizatore root.

E versioni di l'imaghjini Docker cù Alpine pruvati per u prublema eranu 3.3-3.9 inclusive, è ancu l'ultima versione di edge.

L'autori anu fattu a seguente raccomandazione per l'utilizatori affettati:

"U contu root deve esse esplicitamente disattivatu in l'imaghjini Docker custruite da versioni problematiche di Alpine. U prubabile sfruttamentu di a vulnerabilità dipende di l'ambiente, postu chì u so successu esige un serviziu o una applicazione trasmessa esternamente cù Linux PAM o un altru mecanismu simili ".

U prublema era eliminatu in versioni Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 è edge (20190228 snapshot), è i pruprietarii di l'imaghjini affettati sò stati dumandati à cummentà a linea cù a radica in /etc/shadow o assicuratevi chì u pacchettu manca linux-pam.

Cuntinuà cù Docker Hub

Jerry Gamblin hà decisu di esse curiosu di "quantu pò esse cumuni a pratica di utilizà password nulle in cuntenituri". Per questu scopu hà scrittu un picculu Bash script, l'essenza di quale hè assai simplice:

• attraversu una dumanda curl à l'API in Docker Hub, una lista di l'imaghjini Docker allughjate quì hè dumandatu;
• via jq hè ordinatu per campu popularity, è da i risultati ottenuti, i primi mille restanu;
• per ognunu di elli hè cumpletu docker pull;
• per ogni imagine ricevuta da Docker Hub hè eseguita docker run cù leghje a prima linea da u schedariu /etc/shadow;
• se u valore di a stringa hè uguali à root:::0:::::, u nome di l'imaghjini hè salvatu in un schedariu separatu.

Chi hè successu? IN stu schedariu Ci era 194 linee cù i nomi di l'imaghjini populari di Docker cù sistemi Linux, in quale l'utilizatore root ùn hà micca una password stabilita:

"Frà i nomi più cunnisciuti in questa lista eranu govuk/governmentpaas, hashicorp, microsoft, monsanto è mesosphere. È kylemanna/openvpn hè u cuntainer più populari di a lista, e so statistiche totalinu più di 10 milioni di pulls.

Hè vale a pena ricurdà, però, chì stu fenomenu in sè stessu ùn significa micca una vulnerabilità diretta in a sicurità di i sistemi chì l'utilizanu: tuttu dipende di quantu esattamente sò usati. (vede u cumentu di u casu Alpinu sopra). In ogni casu, avemu vistu a "morale di a storia" parechje volte: a simplicità apparente spessu hà un svantaghju, chì deve esse sempre ricurdatu è e cunsequenze di quale hè tenutu in contu in i vostri scenarii d'applicazione di tecnulugia.

PS

Leghjite puru nant'à u nostru blog:

• «Statistiche nantu à i sistemi operativi sottostanti in l'imaghjini in Docker Hub";
• «Docker è Kubernetes in ambienti esigenti di sicurità";
• «Vulnerabilità CVE-2019-5736 in runc, chì vi permette di ottene diritti di root nantu à l'ospite";
• «Vulnerable Docker VM - una macchina virtuale di puzzle per Docker è pentesting».

Source: www.habr.com