დოკერის საუკეთესო სურათების 19%-ს არ აქვს root პაროლი

გასულ შაბათს, 18 მაისს, ჯერი გამბლინი Kenna Security-დან შემოწმდა Docker Hub-ის 1000 ყველაზე პოპულარული სურათი მათ მიერ გამოყენებული root პაროლის საფუძველზე. 19% შემთხვევაში ცარიელი იყო.

ფონი ალპურით

მინი-კვლევის მიზეზი იყო Talos Vulnerability Report, რომელიც გამოჩნდა ამ თვის დასაწყისში (TALOS-2019-0782), რომლის ავტორებმა - პიტერ ადკინსის აღმოჩენის წყალობით Cisco Umbrella-დან - განაცხადეს, რომ Docker სურათებს პოპულარული Alpine კონტეინერის განაწილებით არ აქვთ root პაროლი:

Alpine Linux Docker-ის სურათების ოფიციალური ვერსიები (v3.3-დან) შეიცავს NULL პაროლს root მომხმარებლისთვის. ეს დაუცველობა გამოწვეული იყო 2015 წლის დეკემბერში დანერგილი რეგრესიის შედეგად. ამის არსი ისაა, რომ Alpine Linux-ის პრობლემური ვერსიებით განლაგებულმა სისტემებმა კონტეინერში და Linux PAM-ის ან სხვა მექანიზმის გამოყენებით, რომელიც იყენებს სისტემის ჩრდილოვან ფაილს ავტორიზაციის მონაცემთა ბაზად, შეუძლიათ მიიღონ NULL პაროლი root მომხმარებლისთვის.

Docker გამოსახულების ვერსიები Alpine-თან ერთად, რომლებიც შემოწმებულია პრობლემაზე, იყო 3.3–3.9-ის ჩათვლით, ისევე როგორც edge-ის უახლესი გამოშვება.

ავტორებმა შემდეგი რეკომენდაციები გაუკეთეს დაზარალებულ მომხმარებლებს:

„ძირითადი ანგარიში აშკარად უნდა იყოს გამორთული Docker სურათებში, რომლებიც აგებულია Alpine-ის პრობლემური ვერსიებიდან. დაუცველობის სავარაუდო გამოყენება დამოკიდებულია გარემოზე, რადგან მისი წარმატება მოითხოვს გარედან გადაგზავნილ სერვისს ან აპლიკაციას Linux PAM-ის ან სხვა მსგავსი მექანიზმის გამოყენებით.

პრობლემა იყო აღმოფხვრილი ალპურ ვერსიებში 3.6.5, 3.7.3, 3.8.4, 3.9.2 და edge (20190228 სნეფშოტი) და დაზარალებული სურათების მფლობელებს სთხოვეს კომენტარი გაეკეთებინათ ხაზი root-ში /etc/shadow ან დარწმუნდით, რომ პაკეტი აკლია linux-pam.

გაგრძელება Docker Hub-ით

ჯერი გემბლინმა გადაწყვიტა დაინტერესებულიყო „რამდენად გავრცელებულია კონტეინერებში ნულოვანი პაროლების გამოყენების პრაქტიკა“. ამ მიზნით მან დაწერა მცირე ბაშის სკრიპტი, რომლის არსი ძალიან მარტივია:

• Docker Hub-ში API-ზე curl მოთხოვნის საშუალებით, მოითხოვება იქ განთავსებული Docker სურათების სია;
• jq-ის საშუალებით ის დალაგებულია ველის მიხედვით popularityდა მიღებული შედეგებიდან რჩება პირველი ათასი;
• თითოეული მათგანისთვის იგი სრულდება docker pull;
• Docker Hub-დან მიღებული თითოეული სურათისთვის შესრულებულია docker run ფაილიდან პირველი სტრიქონის წაკითხვით /etc/shadow;
• თუ სტრიქონის მნიშვნელობა უდრის root:::0:::::, სურათის სახელი ინახება ცალკე ფაილში.

Რა მოხდა? IN ამ ფაილს იყო 194 სტრიქონი პოპულარული Docker სურათების სახელებით Linux სისტემებით, რომლებშიც root მომხმარებელს არ აქვს პაროლი დაყენებული:

„ამ სიაში ყველაზე ცნობილ სახელებს შორის იყო govuk/governmentpaas, hashicorp, microsoft, monsanto და mesosphere. და kylemanna/openvpn არის ყველაზე პოპულარული კონტეინერი სიაში, მისი სტატისტიკა ჯამში 10 მილიონზე მეტი მოზიდვაა.

ამასთან, უნდა გვახსოვდეს, რომ ეს ფენომენი თავისთავად არ ნიშნავს პირდაპირ დაუცველობას იმ სისტემების უსაფრთხოებაში, რომლებიც მათ იყენებენ: ეს ყველაფერი დამოკიდებულია იმაზე, თუ როგორ გამოიყენება ისინი. (იხილეთ კომენტარი ალპური შემთხვევიდან ზემოთ). თუმცა, ჩვენ არაერთხელ გვინახავს „ამბის მორალი“: აშკარა სიმარტივეს ხშირად აქვს უარყოფითი მხარე, რომელიც ყოველთვის უნდა გვახსოვდეს და რომლის შედეგებიც მხედველობაში მიიღება თქვენი ტექნოლოგიის გამოყენების სცენარებში.

PS

ასევე წაიკითხეთ ჩვენს ბლოგზე:

• «სტატისტიკა ძირითადი ოპერაციული სისტემების სურათებში Docker Hub-ზე";
• «Docker და Kubernetes უსაფრთხოებისადმი მგრძნობიარე გარემოში";
• «დაუცველობა CVE-2019-5736 runc-ში, რომელიც საშუალებას გაძლევთ მოიპოვოთ root უფლებები ჰოსტზე";
• «Vulnerable Docker VM - თავსატეხი ვირტუალური მანქანა Docker-ისთვის და პენტესტისთვის".

წყარო: www.habr.com