ל-19% מהתמונות המובילות של Docker אין סיסמת שורש

בשבת האחרונה, 18 במאי, ג'רי גמבלין מ-Kenna Security מסומן 1000 התמונות הפופולריות ביותר מ- Docker Hub לפי הסיסמה שבה הם משתמשים עבור משתמש השורש. ב-19% מהמקרים התברר שהוא ריק.

רקע עם אלפיני

הסיבה למיני-מחקר הייתה דוח הפגיעות של Talos שהופיע מוקדם יותר החודש (TALOS-2019-0782), שמחבריה - הודות לגילוי של פיטר אדקינס מ-Cisco Umbrella - דיווחו שלתמונות Docker עם הפצת הקיבול האלפינית הפופולרית אין סיסמת שורש:

"גרסאות רשמיות של תמונות Alpine Linux Docker (החל מגרסה 3.3) מכילות סיסמה NULL עבור משתמש השורש. פגיעות זו הופיעה כתוצאה מרגרסיה שהוצגה בדצמבר 2015. המהות שלו מסתכמת בעובדה שמערכות הפרוסות עם גרסאות בעייתיות של Alpine Linux בקונטיינר ומשתמשות ב-Linux PAM או מנגנון אחר המשתמש בקובץ צל של המערכת כמסד נתונים לאימות יכולות לקבל סיסמה null (NULL) עבור משתמש השורש.

הגרסאות של תמונות Alpine Docker שנבדקו לבעיה היו 3.3-3.9 כולל, כמו גם המהדורה האחרונה של edge.

המחברים הגישו את ההמלצה הבאה למשתמשים המושפעים:

"חשבון השורש חייב להיות מושבת במפורש בתמונות Docker שנבנו מגרסאות בעייתיות של Alpine. הניצול הסביר של הפגיעות תלוי בסביבה, שכן הצלחתה מחייבת שירות או יישום המועברים חיצונית באמצעות Linux PAM או מנגנון דומה אחר.

הבעיה הייתה חוסלו בגרסאות אלפיניות 3.6.5, 3.7.3, 3.8.4, 3.9.2 ו-Edge (20190228 תמונת מצב), ובעלים של תמונות מושפעות התבקשו להגיב על הקו עם השורש ב- /etc/shadow או לוודא שהחבילה חסרה linux-pam.

המשך מ- Docker Hub

ג'רי גמבלין החליט לברר על "כמה נפוץ עשוי להיות הנוהג של שימוש בסיסמאות אפסיות בקונטיינרים". כדי לעשות זאת, הוא כתב קטן תסריט bash, המהות שלו פשוטה מאוד:

• באמצעות בקשת סלסול ל-API ב- Docker Hub, מתבקשת רשימה של תמונות Docker המתארחות שם;
• דרך jq זה ממיין לפי שדה popularity, ומהתוצאות שהושגו, נותרו אלף הראשונים;
• לכל אחד מהם, docker pull;
• עבור כל תמונה שהתקבלה מ- Docker Hub, docker run קריאת שורה ראשונה מהקובץ /etc/shadow;
• אם ערך המחרוזת שווה ל root:::0:::::, שם התמונה נשמר בקובץ נפרד.

מה קרה? IN הקובץ הזה היו 194 שורות עם שמות של תמונות Docker פופולריות עם מערכות לינוקס, שבהן למשתמש השורש אין סיסמה מוגדרת:

"בין השמות המפורסמים ביותר ברשימה זו היו govuk/governmentpaas, hashicorp, microsoft, monsanto ו-mesosphere. ו-kylemanna/openvpn הוא הקונטיינר הפופולרי ביותר ברשימה, עם למעלה מ-10 מיליון משיכה."

עם זאת, כדאי לזכור שתופעה זו כשלעצמה אין פירושה פגיעות ישירה באבטחת המערכות שמשתמשות בהן: הכל תלוי איך בדיוק נעשה בהן שימוש. (ראה תגובה ממקרה אלפיין למעלה). עם זאת, כבר ראינו את "המוסר של הסיפור הזה" פעמים רבות: לפשטות לכאורה יש לרוב חסרון, שכדאי תמיד לזכור ולקחת בחשבון את ההשלכות שלו בתרחישים שלך על השימוש בטכנולוגיה.

נ.ב.

קרא גם בבלוג שלנו:

• «נתונים סטטיסטיים על מערכות הפעלה בסיסיות בתמונות ב- Docker Hub";
• «Docker ו-Kubernetes בסביבות תובעניות אבטחה";
• «פגיעות CVE-2019-5736 ב-runc, המאפשרת להשיג זכויות בסיס על המארח";
• «Vulnerable Docker VM - מכונת חידה וירטואלית עבור Docker ו-pentesting".

מקור: www.habr.com