19 prosentilla suosituimmista Docker-kuvista ei ole pääkäyttäjän salasanaa

Viime lauantaina 18. toukokuuta Jerry Gamblin Kenna Securitysta tarkistettu 1000 suosituinta Docker Hubin kuvaa root-käyttäjän salasanalla. 19 prosentissa tapauksista se osoittautui tyhjäksi.

Tausta Alpine

Syynä minitutkimukseen oli aiemmin tässä kuussa ilmestynyt Talos Vulnerability Report (TALOS-2019-0782), jonka kirjoittajat - Cisco Umbrellan Peter Adkinsin löydön ansiosta - ilmoittivat, että suositun Alpine-konttijakelun Docker-kuvilla ei ole pääkäyttäjän salasanaa:

"Alpine Linux Docker -tiedostojen viralliset versiot (alkaen v3.3:sta) sisältävät NULL-salasanan pääkäyttäjälle. Tämä haavoittuvuus ilmeni joulukuussa 2015 esitetyn regression seurauksena. Sen olemus tiivistyy siihen tosiasiaan, että järjestelmät, jotka on otettu käyttöön Alpine Linuxin ongelmallisilla versioilla säilössä ja jotka käyttävät Linux PAM:ia tai muuta mekanismia, joka käyttää järjestelmän varjotiedostoa tietokantana todentamiseen, voivat hyväksyä nolla-salasanan (NULL) pääkäyttäjälle.

Ongelman varalta testatut Alpine Docker -kuvien versiot olivat 3.3-3.9 mukaan lukien, sekä viimeisin Edge-versio.

Kirjoittajat antoivat seuraavan suosituksen käyttäjille, joita asia koskee:

"Juuritili on ehdottomasti poistettava käytöstä Docker-kuvissa, jotka on rakennettu Alpinen ongelmallisista versioista. Haavoittuvuuden todennäköinen hyödyntäminen riippuu ympäristöstä, koska sen onnistuminen edellyttää ulkopuolelta edelleenlähetettyä palvelua tai sovellusta, joka käyttää Linux PAM:ia tai muuta vastaavaa mekanismia.

Ongelma oli eliminoitu Alpine-versioissa 3.6.5, 3.7.3, 3.8.4, 3.9.2 ja edge (20190228 tilannekuva), ja vaikutusten kohteena olevien kuvien omistajia pyydettiin kommentoimaan riviä, jonka pääkäyttäjä on /etc/shadow tai varmista, että paketti puuttuu linux-pam.

Jatkuu Docker Hubista

Jerry Gamblin päätti tiedustella "kuinka yleinen käytäntö tyhjäsalasanojen käyttäminen säilöissä voi olla". Tätä varten hän kirjoitti pienen bash-skripti, jonka olemus on hyvin yksinkertainen:

• Docker Hubin sovellusliittymään kohdistuvan curl-pyynnön kautta pyydetään luettelo siellä isännöidyistä Docker-kuvista;
• jq:n kautta se lajitellaan kentän mukaan popularity, ja saaduista tuloksista on jäljellä ensimmäinen tuhat;
• jokaiselle heistä, docker pull;
• jokaisesta Docker Hubista vastaanotetusta kuvasta docker run ensimmäisen rivin lukeminen tiedostosta /etc/shadow;
• jos merkkijonon arvo on yhtä suuri kuin root:::0:::::, kuvan nimi tallennetaan erilliseen tiedostoon.

Mitä tapahtui? SISÄÄN Tämä tiedosto siellä oli 194 riviä suosittujen Docker-kuvien nimillä Linux-järjestelmissä, joissa pääkäyttäjällä ei ole salasanaa:

”Tämän listan kuuluisimpia nimiä olivat govuk/governmentpaas, hashicorp, microsoft, monsanto ja mesosphere. Ja kylemanna/openvpn on listan suosituin kontti yli 10 miljoonalla vedolla.

On kuitenkin syytä muistaa, että tämä ilmiö ei sinänsä tarkoita suoraa haavoittuvuutta niitä käyttävien järjestelmien turvallisuuteen: kaikki riippuu siitä, kuinka niitä tarkalleen käytetään. (katso kommentti Alpine-tapauksesta yllä). Olemme kuitenkin nähneet ”tämän tarinan moraalin” jo monta kertaa: näennäisellä yksinkertaisuudella on usein varjopuolensa, joka kannattaa aina muistaa ja ottaa sen seuraukset huomioon tekniikan käyttöskenaarioissa.

PS.

Lue myös blogistamme:

• «Peruskäyttöjärjestelmien tilastot Docker Hubin kuvissa";
• «Docker ja Kubernetes turvallisuutta vaativissa ympäristöissä";
• «Runc:n haavoittuvuus CVE-2019-5736, joka mahdollistaa pääkäyttäjän oikeuksien hankkimisen isännässä";
• «Vulnerable Docker VM – palapelin virtuaalikone Dockerille ja pentestaukseen'.

Lähde: will.com