O 19% das imaxes de Docker máis populares non teñen un contrasinal de root

O pasado sábado 18 de maio, Jerry Gamblin de Kenna Security comprobado 1000 das imaxes máis populares de Docker Hub baseadas no contrasinal de root que usan. No 19% dos casos estaba baleiro.

Fondo con Alpine

O motivo da mini-investigación foi o Informe de Vulnerabilidade de Talos que apareceu a principios deste mes (TALOS-2019-0782), cuxos autores, grazas ao descubrimento de Peter Adkins de Cisco Umbrella, informaron de que as imaxes de Docker coa popular distribución de contedores Alpine non teñen contrasinal de root:

“As versións oficiais das imaxes de Alpine Linux Docker (desde a versión 3.3) conteñen un contrasinal NULL para o usuario root. Esta vulnerabilidade foi o resultado dunha regresión introducida en decembro de 2015. O principal disto é que os sistemas despregados con versións problemáticas de Alpine Linux nun contedor e que usan Linux PAM ou outro mecanismo que usa o ficheiro de sombra do sistema como base de datos de autenticación poden aceptar un contrasinal NULL para o usuario root.

As versións das imaxes de Docker con Alpine probadas para o problema foron 3.3–3.9 inclusive, así como a última versión de Edge.

Os autores fixeron a seguinte recomendación para os usuarios afectados:

"A conta root debe estar desactivada explícitamente nas imaxes de Docker creadas a partir de versións problemáticas de Alpine. A probable explotación da vulnerabilidade depende do entorno, xa que o seu éxito require un servizo ou aplicación reenviado externamente que utilice Linux PAM ou outro mecanismo similar".

O problema era eliminado nas versións de Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 e edge (20190228 instantánea), e os propietarios das imaxes afectadas por ela foron invitados a comentar a liña con root en /etc/shadow ou asegúrese de que falta o paquete linux-pam.

Continuou con Docker Hub

Jerry Gamblin decidiu sentir curiosidade sobre "o común que pode ser a práctica de usar contrasinais nulos nos contedores". Para iso escribiu un pequeno Script Bash, cuxa esencia é moi sinxela:

• mediante unha solicitude de curl á API en Docker Hub, solicítase unha lista de imaxes de Docker aloxadas alí;
• mediante jq ordénase por campo popularity, e dos resultados obtidos quedan os mil primeiros;
• para cada un deles cúmprese docker pull;
• para cada imaxe recibida de Docker Hub execútase docker run coa lectura da primeira liña do ficheiro /etc/shadow;
• se o valor da cadea é igual a root:::0:::::, o nome da imaxe gárdase nun ficheiro separado.

Que pasou? EN este ficheiro Había 194 liñas cos nomes de imaxes populares de Docker con sistemas Linux, nas que o usuario root non ten un contrasinal definido:

“Entre os nomes máis coñecidos desta lista estaban govuk/governmentpaas, hashicorp, microsoft, monsanto e mesosphere. E kylemanna/openvpn é o contedor máis popular da lista, as súas estatísticas suman máis de 10 millóns de tiradas.

Cabe lembrar, non obstante, que este fenómeno en si mesmo non supón unha vulnerabilidade directa na seguridade dos sistemas que os usan: todo depende de como se utilicen exactamente. (ver comentario do caso Alpine arriba). Non obstante, vimos moitas veces a "moral da historia": a aparente sinxeleza adoita ter un inconveniente, que sempre hai que lembrar e cuxas consecuencias se teñen en conta nos seus escenarios de aplicación tecnolóxica.

PS

Lea tamén no noso blog:

• «Estatísticas sobre sistemas operativos subxacentes en imaxes en Docker Hub»;
• «Docker e Kubernetes en ambientes sensibles á seguridade»;
• «Vulnerabilidade CVE-2019-5736 en runc, que lle permite obter dereitos de root no host»;
• «Vulnerable Docker VM: unha máquina virtual de crebacabezas para Docker e pentesting».

Fonte: www.habr.com