19% gambar Docker ndhuwur ora duwe tembung sandhi root

Setu pungkasan, 18. Mei, Jerry Gamblin saka Kenna Security dipriksa 1000 gambar sing paling populer saka Docker Hub adhedhasar sandhi root sing digunakake. Ing 19% kasus, kosong.

Latar mburi karo Alpine

Alesan kanggo riset mini yaiku Talos Vulnerability Report sing muncul awal wulan iki (TALOS-2019-0782), penulis sing - thanks kanggo panemuan Peter Adkins saka Cisco Umbrella - nglaporake manawa gambar Docker kanthi distribusi wadhah Alpine populer ora duwe tembung sandhi root:

"Versi resmi gambar Alpine Linux Docker (wiwit v3.3) ngemot tembung sandhi NULL kanggo pangguna root. Kerentanan iki minangka asil saka regresi sing dikenalake ing Desember 2015. Inti saka iki yaiku sistem sing dipasang karo versi Alpine Linux sing bermasalah ing wadhah lan nggunakake Linux PAM utawa mekanisme liyane sing nggunakake file bayangan sistem minangka basis data otentikasi bisa nampa tembung sandhi NULL kanggo pangguna root.

Versi gambar Docker karo Alpine sing diuji kanggo masalah kasebut kalebu 3.3-3.9, uga rilis pinggiran paling anyar.

Penulis nggawe rekomendasi ing ngisor iki kanggo pangguna sing kena pengaruh:

"Akun root kudu dipateni kanthi jelas ing gambar Docker sing dibangun saka versi Alpine sing bermasalah. Kemungkinan eksploitasi kerentanan gumantung ing lingkungan, amarga sukses mbutuhake layanan utawa aplikasi sing diterusake sacara eksternal nggunakake Linux PAM utawa mekanisme sing padha.

Masalahe yaiku diilangi ing versi Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 lan pinggiran (20190228 snapshot), lan sing nduweni gambar sing kena pengaruh dijaluk menehi komentar babagan baris kasebut kanthi root ing. /etc/shadow utawa priksa manawa paket wis ilang linux-pam.

Terus karo Docker Hub

Jerry Gamblin mutusake kepengin weruh "sepira umume praktik nggunakake tembung sandhi sing ora ana ing kontaner." Kanggo maksud iki dheweke nulis cilik Skrip Bash, inti sing prasaja banget:

• liwat panjalukan curl menyang API ing Docker Hub, dhaptar gambar Docker sing di-host ana dijaluk;
• liwat jq diurutake miturut lapangan popularity, lan saka asil sing dipikolehi, sewu pisanan tetep;
• kanggo saben wong iku kawujud docker pull;
• kanggo saben gambar sing ditampa saka Docker Hub dieksekusi docker run karo maca baris pisanan saka file /etc/shadow;
• yen regane senar padha karo root:::0:::::, jeneng gambar disimpen ing file kapisah.

Ana apa? ING file iki Ana 194 baris kanthi jeneng gambar Docker sing populer karo sistem Linux, ing ngendi pangguna root ora duwe set sandi:

"Antara jeneng sing paling misuwur ing dhaptar iki yaiku govuk/governmentpaas, hashicorp, microsoft, monsanto lan mesosphere. Lan kylemanna/openvpn minangka wadhah sing paling populer ing dhaptar, statistik kalebu luwih saka 10 yuta tarikan.

Nanging, kudu dieling-eling manawa fenomena iki dhewe ora ateges kerentanan langsung ing keamanan sistem sing digunakake: kabeh gumantung kepiye carane digunakake. (ndeleng komentar saka kasus Alpine ing ndhuwur). Nanging, kita wis ndeleng "moral saka crita" kaping pirang-pirang: kesederhanaan sing katon asring duwe kekurangan, sing kudu dieling-eling lan akibat sing ditrapake ing skenario aplikasi teknologi sampeyan.

PS

Waca uga ing blog kita:

• «Statistik babagan sistem operasi dhasar ing gambar ing Docker Hub";
• «Docker lan Kubernetes ing lingkungan sing nuntut keamanan";
• «Kerentanan CVE-2019-5736 ing runc, sing ngidini sampeyan entuk hak root ing host";
• «Vulnerable Docker VM - mesin virtual teka-teki kanggo Docker lan pentesting".

Source: www.habr.com