19.4% 1000 populaarseimast Dockeri konteinerist sisaldavad tühja juurparooli

Jerry Gamblin otsustas välja selgitada, kui laialt levinud on äsja tuvastatud probleem Alpine distributsiooni Dockeri piltides, mis on seotud juurkasutaja tühja parooli määramisega. Tuhandete kõige populaarsemate konteinerite analüüs Docker Hubi kataloogist näitas, mis sisse 194 neist (19.4%) määratakse root jaoks tühi parool ilma kontot lukustamata (“root:!::0:::::” asemel “root:::0:::::”).

Kui konteiner kasutab shadow- ja linux-pam-pakette, kasutage tühja juurparooli võimaldab suurendage oma õigusi konteineris, kui teil on konteinerile privilegeerimata juurdepääs või pärast konteineris töötava privilegeerimata teenuse haavatavuse ärakasutamist. Konteineriga saad ühenduse luua ka juurõigustega, kui sul on juurdepääs infrastruktuurile, s.t. võimalus ühendada terminali kaudu loendis /etc/securetty määratud TTY-ga. Tühja parooliga sisselogimine blokeeritakse SSH kaudu.

Kõige populaarsem seas tühja juurparooliga konteinerid on Microsoft/azure-cli, kylemanna/openvpn, Governmentpaas/s3-ressurss, phpmyadmin/phpmyadmin, mesosfäär/aws-cli и hashicorp/terraform, mida on alla laaditud üle 10 miljoni. Samuti on esile tõstetud konteinerid
govuk/gemstash-alpine (500 tuhat), monsantoco/logstash (5 miljonit),
avhost/docker-matrix-riot (1 miljonit),
azuresdk/azure-cli-python (5 miljonit)
и ciscocloud/haproxy-consul (1 miljon). Peaaegu kõik need konteinerid põhinevad Alpine'il ega kasuta shadow- ega linux-pam-pakette. Ainus erand on Debianil põhinev microsoft/azure-cli.

Allikas: opennet.ru