Docker irudi nagusien % 19k ez dute root pasahitzik

Joan den larunbatean, maiatzak 18, Kenna Securityko Jerry Gamblin egiaztatuta Docker Hub-eko 1000 irudi ezagunenak root erabiltzailearentzat erabiltzen duten pasahitzaren arabera. Kasuen %19an hutsik geratu zen.

Atzeko planoa Alpinerekin

Miniazterketaren arrazoia hilabete hasieran agertu den Talos Vulnerability Report izan da (TALOS-2019-0782), horren egileek - Cisco Umbrella-ko Peter Adkins-en aurkikuntzari esker - Alpine edukiontzien banaketa ezaguna duten Docker-en irudiek ez dutela erroko pasahitzik:

"Alpine Linux Docker irudien bertsio ofizialek (v3.3tik hasita) root erabiltzailearentzat NULL pasahitz bat dute. Ahultasun hori 2015eko abenduan aurkeztutako erregresio baten ondorioz agertu zen. Bere funtsa Alpine Linux-en bertsio problematikoekin edukiontzi batean zabaldutako sistemek eta Linux PAM edo sistemaren itzal-fitxategia autentifikaziorako datu-base gisa erabiltzen duten beste mekanismo bat erabiltzen duten sistemak root erabiltzailearentzat pasahitz nulua (NULL) onar dezaketela da.

Arazorako probatutako Alpine Docker irudien bertsioak 3.3-3.9 barne izan ziren, baita edge-ren azken bertsioa ere.

Egileek honako gomendio hau egin diete kaltetutako erabiltzaileei:

"Root kontua esplizituki desgaitu behar da Alpine-ren bertsio arazotsuetatik sortutako Docker irudietan. Zaurgarritasunaren ustiapena ingurunearen araberakoa da, izan ere, arrakastak Linux PAM edo antzeko beste mekanismoren bat erabiliz kanpoko zerbitzu edo aplikazio bat behar du.

Arazoa zen ezabatuta Alpine bertsioetan 3.6.5, 3.7.3, 3.8.4, 3.9.2 eta edge (20190228 argazkia), eta kaltetutako irudien jabeei lerroa iruzkintzeko eskatu zieten erroarekin. /etc/shadow edo ziurtatu paketea falta dela linux-pam.

Docker Hub-etik jarraitu da

Jerry Gamblinek "edukiontzietan pasahitz nuluak erabiltzearen praktika zenbaterainokoa izan daitekeen" galdetzea erabaki zuen. Horretarako, txiki bat idatzi zuen bash gidoia, zeinaren funtsa oso erraza da:

• Docker Hub-eko APIari kizkur eskaera baten bidez, bertan ostatatutako Docker irudien zerrenda eskatzen da;
• jq bidez eremuaren arabera ordenatzen du popularity, eta lortutako emaitzetatik, lehenengo mila geratzen da;
• horietako bakoitzarentzat, docker pull;
• Docker Hub-etik jasotako irudi bakoitzeko, docker run fitxategiko lehen lerroa irakurtzea /etc/shadow;
• katearen balioa berdina bada root:::0:::::, irudiaren izena aparteko fitxategi batean gordetzen da.

Zer gertatu da? IN fitxategi hau Linux sistemetako Docker irudi ezagunen izenak zituzten 194 lerro zeuden, eta horietan root erabiltzaileak ez du pasahitz ezarririk:

«Zerrenda honetako izen ospetsuenen artean govuk/governmentpaas, hashicorp, microsoft, monsanto eta mesosphere zeuden. Eta kylemanna/openvpn da zerrendako edukiontzirik ezagunena, 10 milioi tirada baino gehiagorekin».

Dena den, komeni da gogoratzea fenomeno honek berez ez duela esan nahi erabiltzen dituzten sistemen segurtasunean ahultasun zuzenik: dena nola erabiltzen diren zehazki. (ikus goiko Alpine kasuaren iruzkina). Hala ere, "istorio honen morala" askotan ikusi dugu jada: itxurazko sinpletasunak askotan alde txarra du, beti gogoratu eta kontuan hartu behar dituzun ondorioak zure eszenatokietan teknologia erabiltzeagatik.

PS

Irakurri ere gure blogean:

• «Oinarrizko sistema eragileei buruzko estatistikak Docker Hub-eko irudietan»;
• «Docker eta Kubernetes segurtasuna eskatzen duten inguruneetan»;
• «CVE-2019-5736 ahultasuna runc-en, ostalariaren root-eskubideak lortzeko aukera ematen duena»;
• «Vulnerable Docker VM - Docker eta pentesting-erako puzzle-makina birtuala'.

Iturria: www.habr.com