19% នៃរូបភាព Docker កំពូលមិនមានពាក្យសម្ងាត់ root ទេ។

កាលពីថ្ងៃសៅរ៍ ទី១៨ ខែឧសភា កន្លងទៅនេះ លោក Jerry Gamblin នៃ Kenna Security បានពិនិត្យ 1000 នៃរូបភាពពេញនិយមបំផុតពី Docker Hub ដោយផ្អែកលើពាក្យសម្ងាត់ root ដែលពួកគេប្រើ។ ក្នុង 19% នៃករណីវាទទេ។

ផ្ទៃខាងក្រោយជាមួយអាល់ផែន

ហេតុផលសម្រាប់ការស្រាវជ្រាវខ្នាតតូចគឺរបាយការណ៍ភាពងាយរងគ្រោះ Talos ដែលបានបង្ហាញខ្លួននៅដើមខែនេះ (TALOS-2019-0782), អ្នកនិពន្ធដែល - អរគុណចំពោះការរកឃើញរបស់ Peter Adkins ពី Cisco Umbrella - បានរាយការណ៍ថារូបភាព Docker ជាមួយនឹងការចែកចាយធុង Alpine ដ៏ពេញនិយមមិនមានពាក្យសម្ងាត់ root ទេ:

“កំណែផ្លូវការនៃរូបភាព Alpine Linux Docker (ចាប់តាំងពី v3.3) មានពាក្យសម្ងាត់ NULL សម្រាប់អ្នកប្រើប្រាស់ root ។ ភាពងាយរងគ្រោះនេះបានមកពីការតំរែតំរង់ដែលបានណែនាំនៅក្នុងខែធ្នូ ឆ្នាំ 2015។ ចំនុចសំខាន់គឺប្រព័ន្ធដែលប្រើជាមួយកំណែមានបញ្ហានៃ Alpine Linux នៅក្នុងកុងតឺន័រមួយ ហើយប្រើ Linux PAM ឬយន្តការផ្សេងទៀតដែលប្រើឯកសារស្រមោលប្រព័ន្ធជាមូលដ្ឋានទិន្នន័យផ្ទៀងផ្ទាត់អាចទទួលយកពាក្យសម្ងាត់ NULL សម្រាប់អ្នកប្រើប្រាស់ root ។

កំណែនៃរូបភាព Docker ជាមួយ Alpine ដែលបានសាកល្បងសម្រាប់បញ្ហាគឺ 3.3–3.9 រួមបញ្ចូល ក៏ដូចជាការចេញផ្សាយចុងក្រោយបំផុតនៃគែម។

អ្នកនិពន្ធបានធ្វើការណែនាំដូចខាងក្រោមសម្រាប់អ្នកប្រើប្រាស់ដែលរងផលប៉ះពាល់៖

"គណនី root ត្រូវតែត្រូវបានបិទយ៉ាងច្បាស់លាស់នៅក្នុងរូបភាព Docker ដែលបង្កើតឡើងពីកំណែដែលមានបញ្ហារបស់ Alpine ។ លទ្ធភាពនៃការកេងប្រវ័ញ្ចនៃភាពងាយរងគ្រោះគឺអាស្រ័យលើបរិស្ថាន ដោយសារភាពជោគជ័យរបស់វាទាមទារសេវាកម្មបញ្ជូនបន្តពីខាងក្រៅដោយប្រើ Linux PAM ឬយន្តការស្រដៀងគ្នាផ្សេងទៀត។

បញ្ហាគឺ លុបចោល នៅក្នុងកំណែ Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 និង edge (រូបថតឆ្នាំ 20190228) ហើយម្ចាស់នៃរូបភាពដែលរងផលប៉ះពាល់ត្រូវបានស្នើសុំឱ្យបញ្ចេញមតិអំពីបន្ទាត់ដែលមានឫសគល់នៅក្នុង /etc/shadow ឬត្រូវប្រាកដថាកញ្ចប់បាត់ linux-pam.

បន្តជាមួយ Docker Hub

លោក Jerry Gamblin បានសម្រេចចិត្តចង់ដឹងចង់ឃើញអំពី "ទម្លាប់នៃការប្រើប្រាស់លេខសំងាត់ទទេនៅក្នុងកុងតឺន័រគឺជារឿងធម្មតាប៉ុណ្ណា។" សម្រាប់គោលបំណងនេះគាត់បានសរសេរតូចមួយ ស្គ្រីប Bashខ្លឹមសារគឺសាមញ្ញណាស់៖

• តាមរយៈសំណើ curl ទៅកាន់ API នៅក្នុង Docker Hub បញ្ជីនៃរូបភាព Docker ដែលបង្ហោះនៅទីនោះត្រូវបានស្នើសុំ។
• តាមរយៈ jq វាត្រូវបានតម្រៀបតាមវាល popularityហើយពីលទ្ធផលដែលទទួលបាន នៅសល់មួយពាន់ដំបូង។
• សម្រាប់ពួកគេម្នាក់ៗវាត្រូវបានបំពេញ docker pull;
• សម្រាប់រូបភាពនីមួយៗដែលទទួលបានពី Docker Hub ត្រូវបានប្រតិបត្តិ docker run ជាមួយនឹងការអានជួរទីមួយពីឯកសារ /etc/shadow;
• ប្រសិនបើតម្លៃនៃខ្សែគឺស្មើនឹង root:::0:::::ឈ្មោះរបស់រូបភាពត្រូវបានរក្សាទុកក្នុងឯកសារដាច់ដោយឡែកមួយ។

តើមានអ្វីកើតឡើង? IN ឯកសារនេះ។ មាន 194 បន្ទាត់ដែលមានឈ្មោះនៃរូបភាព Docker ដ៏ពេញនិយមជាមួយប្រព័ន្ធលីនុច ដែលក្នុងនោះអ្នកប្រើប្រាស់ root មិនមានការកំណត់ពាក្យសម្ងាត់ទេ៖

"ក្នុងចំណោមឈ្មោះល្បីបំផុតនៅក្នុងបញ្ជីនេះគឺ govuk/governmentpaas, hashicorp, microsoft, monsanto និង mesosphere ។ ហើយ kylemanna/openvpn គឺជាកុងតឺន័រដ៏ពេញនិយមបំផុតនៅក្នុងបញ្ជី ស្ថិតិរបស់វារួមមានការទាញច្រើនជាង 10 លាន។

ទោះជាយ៉ាងណាក៏ដោយ គួររំលឹកឡើងវិញថា បាតុភូតនេះនៅក្នុងខ្លួនវាមិនមានន័យថាភាពងាយរងគ្រោះដោយផ្ទាល់នៅក្នុងសុវត្ថិភាពនៃប្រព័ន្ធដែលប្រើប្រាស់ពួកវានោះទេ៖ វាទាំងអស់គឺអាស្រ័យលើរបៀបដែលពួកវាត្រូវបានប្រើប្រាស់យ៉ាងពិតប្រាកដ។ (សូមមើលការអត្ថាធិប្បាយពីករណី Alpine ខាងលើ). ទោះជាយ៉ាងណាក៏ដោយ យើងបានឃើញ "សីលធម៌នៃរឿង" ជាច្រើនដង៖ ភាពសាមញ្ញជាក់ស្តែងជាញឹកញាប់មានការធ្លាក់ចុះ ដែលត្រូវតែចងចាំជានិច្ច និងផលវិបាកដែលយកមកពិចារណានៅក្នុងសេណារីយ៉ូកម្មវិធីបច្ចេកវិទ្យារបស់អ្នក។

PS

សូមអានផងដែរនៅលើប្លក់របស់យើង៖

• «ស្ថិតិលើប្រព័ន្ធប្រតិបត្តិការមូលដ្ឋាននៅក្នុងរូបភាពនៅលើ Docker Hub»
• «Docker និង Kubernetes នៅក្នុងបរិស្ថានដែលទាមទារសុវត្ថិភាព»
• «ភាពងាយរងគ្រោះ CVE-2019-5736 នៅក្នុង runc ដែលអនុញ្ញាតឱ្យអ្នកទទួលបានសិទ្ធិជា root នៅលើម៉ាស៊ីន»
• «ងាយរងគ្រោះ Docker VM - ម៉ាស៊ីននិម្មិតផ្ដុំរូបសម្រាប់ Docker និង pentesting"។

ប្រភព: www.habr.com