19% af efstu Docker myndunum eru ekki með rót lykilorð

Síðasta laugardag, 18. maí, Jerry Gamblin frá Kenna Security athugað 1000 af vinsælustu myndunum frá Docker Hub miðað við rótarlykilorðið sem þeir nota. Í 19% tilvika var það tómt.

Bakgrunnur með Alpine

Ástæðan fyrir smárannsókninni var Talos varnarleysisskýrslan sem birtist fyrr í þessum mánuði (TALOS-2019-0782), höfundar sem - þökk sé uppgötvun Peter Adkins frá Cisco Umbrella - greindu frá því að Docker myndir með vinsælu Alpine gámdreifingunni væru ekki með rótarlykilorð:

„Opinberar útgáfur af Alpine Linux Docker myndum (frá v3.3) innihalda NULL lykilorð fyrir rótarnotandann. Þessi varnarleysi stafaði af afturför sem kynnt var í desember 2015. Kjarni þessa er sá að kerfi sem eru notuð með erfiðum útgáfum af Alpine Linux í gám og nota Linux PAM eða annan búnað sem notar kerfisskuggaskrána sem auðkenningargagnagrunn geta samþykkt NULL lykilorð fyrir rótarnotandann.

Útgáfurnar af Docker myndum með Alpine sem prófaðar voru fyrir vandamálið voru 3.3–3.9 að meðtöldum, sem og nýjasta útgáfan af edge.

Höfundarnir gáfu eftirfarandi tilmæli fyrir viðkomandi notendur:

„Rótarreikningurinn verður að vera sérstaklega óvirkur í Docker myndum byggðar úr erfiðum útgáfum af Alpine. Líkleg hagnýting á varnarleysinu fer eftir umhverfinu, þar sem velgengni þess krefst utanaðkomandi þjónustu eða forrits sem notar Linux PAM eða annað svipað kerfi."

Vandamálið var útrýmt í Alpine útgáfum 3.6.5, 3.7.3, 3.8.4, 3.9.2 og edge (20190228 skyndimynd), og eigendur mynda sem verða fyrir áhrifum af því voru beðnir um að tjá sig um línuna með rót í /etc/shadow eða vertu viss um að pakkann vanti linux-pam.

Framhald með Docker Hub

Jerry Gamblin ákvað að forvitnast um "hversu algengt að nota núll lykilorð í gámum gæti verið." Fyrir þetta skrifaði hann lítið Bash handrit, kjarninn í því er mjög einfaldur:

• í gegnum krullubeiðni til API í Docker Hub er beðið um lista yfir Docker myndir sem hýstar eru þar;
• í gegnum jq er það raðað eftir sviðum popularity, og af þeim niðurstöðum sem fengust eru fyrstu þúsund eftir;
• fyrir hvert þeirra er það uppfyllt docker pull;
• fyrir hverja mynd sem berast frá Docker Hub er keyrð docker run með því að lesa fyrstu línuna úr skránni /etc/shadow;
• ef gildi strengsins er jafnt og root:::0:::::, nafn myndarinnar er vistað í sérstakri skrá.

Hvað gerðist? IN þessari skrá Það voru 194 línur með nöfnum á vinsælum Docker myndum með Linux kerfum, þar sem rótnotandinn er ekki með lykilorð:

„Meðal þekktustu nafnanna á þessum lista voru govuk/governmentpaas, hashicorp, microsoft, monsanto og mesosphere. Og kylemanna/openvpn er vinsælasti gámurinn á listanum, tölfræði hans er samtals meira en 10 milljónir toga.

Rétt er þó að minna á að þetta fyrirbæri þýðir í sjálfu sér ekki beinan varnarleysi í öryggi þeirra kerfa sem nota þau: það fer allt eftir því hvernig þau eru notuð nákvæmlega (sjá athugasemd úr Alpine málinu hér að ofan). Hins vegar höfum við oft séð „siðferði sögunnar“: augljós einfaldleiki hefur oft galla, sem alltaf verður að muna og taka tillit til afleiðinga þess í tækniumsóknum þínum.

PS

Lestu líka á blogginu okkar:

• «Tölfræði um undirliggjandi stýrikerfi í myndum á Docker Hub»;
• «Docker og Kubernetes í öryggisviðkvæmu umhverfi»;
• «Varnarleysi CVE-2019-5736 í runc, sem gerir þér kleift að öðlast rótarréttindi á hýsilinn»;
• «Viðkvæmur Docker VM - sýndarþraut fyrir Docker og pentesting'.

Heimild: www.habr.com