상위 Docker 이미지의 19%에는 루트 암호가 없습니다.

지난 18월 XNUMX일 토요일, Kenna Security의 Jerry Gamblin 체크 사용되는 루트 비밀번호를 기반으로 하는 Docker Hub의 가장 인기 있는 이미지 1000개입니다. 19%의 경우에는 비어 있었습니다.

알파인 배경

미니 조사를 하게 된 계기는 이달 초 등장한 탈로스 취약점 보고서(Talos Vulnerability Report) 때문이다.탈로스-2019-0782), Cisco Umbrella의 Peter Adkins를 발견한 덕분에 저자는 널리 사용되는 Alpine 컨테이너 배포판의 Docker 이미지에 루트 비밀번호가 없다고 보고했습니다.

“Alpine Linux Docker 이미지의 공식 버전(v3.3 이후)에는 루트 사용자에 대한 NULL 비밀번호가 포함되어 있습니다. 이 취약점은 2015년 XNUMX월에 도입된 회귀로 인해 발생했습니다. 이것의 요점은 컨테이너에 문제가 있는 Alpine Linux 버전을 배포하고 Linux PAM 또는 시스템 섀도우 파일을 인증 데이터베이스로 사용하는 다른 메커니즘을 사용하는 시스템이 루트 사용자에 대해 NULL 비밀번호를 허용할 수 있다는 것입니다.”

문제에 대해 테스트된 Alpine의 Docker 이미지 버전은 3.3~3.9 버전과 최신 Edge 릴리스였습니다.

저자는 영향을 받는 사용자에게 다음과 같은 권장 사항을 제시했습니다.

“문제가 있는 Alpine 버전으로 빌드된 Docker 이미지에서는 루트 계정을 명시적으로 비활성화해야 합니다. 취약점을 악용할 가능성은 환경에 따라 다릅니다. 성공하려면 Linux PAM 또는 기타 유사한 메커니즘을 사용하여 외부로 전달되는 서비스나 애플리케이션이 필요하기 때문입니다."

문제는 제거 Alpine 버전 3.6.5, 3.7.3, 3.8.4, 3.9.2 및 edge(20190228 스냅샷)에서 영향을 받은 이미지의 소유자는 루트가 있는 줄을 주석 처리하도록 요청 받았습니다. /etc/shadow 아니면 패키지가 누락되었는지 확인하세요 linux-pam.

Docker Hub로 계속

Jerry Gamblin은 "컨테이너에서 null 비밀번호를 사용하는 관행이 얼마나 흔한지" 궁금해하기로 결정했습니다. 이를 위해 그는 작은 글을 썼다. 배쉬 스크립트, 그 본질은 매우 간단합니다.

• Docker Hub의 API에 대한 컬 요청을 통해 거기에서 호스팅되는 Docker 이미지 목록이 요청됩니다.
• jq를 통해 필드별로 정렬됩니다. popularity, 그리고 얻은 결과에서 처음 천 개가 남아 있습니다.
• 그들 각각에 대해 그것은 성취됩니다 docker pull;
• Docker Hub에서 받은 각 이미지에 대해 실행됩니다. docker run 파일의 첫 번째 줄을 읽으면서 /etc/shadow;
• 문자열의 값이 다음과 같은 경우 root:::0:::::, 이미지 이름은 별도의 파일에 저장됩니다.

무슨 일이에요? 안에 이 파일 Linux 시스템에는 인기 있는 Docker 이미지 이름이 포함된 194개 줄이 있었는데, 여기에는 루트 사용자에게 비밀번호가 설정되어 있지 않습니다.

“이 목록에서 가장 잘 알려진 이름 중에는 govuk/governmentpaas, hashicorp, microsoft, monsanto 및 mesosphere가 있습니다. 그리고 kylemanna/openvpn은 목록에서 가장 인기 있는 컨테이너이며, 통계는 총 10천만 건이 넘습니다.”

그러나 이 현상 자체가 이를 사용하는 시스템의 보안에 직접적인 취약성을 의미하는 것은 아니라는 점을 상기할 가치가 있습니다. 이는 모두 해당 현상이 정확히 어떻게 사용되는지에 따라 달라집니다. (위 Alpine 사례의 설명 참조). 그러나 우리는 "이야기의 도덕"을 여러 번 보았습니다. 명백한 단순성은 종종 단점이 있으며, 항상 기억해야 하고 기술 적용 시나리오에서 그 결과를 고려해야 합니다.

PS

블로그에서도 읽어보세요.

• «Docker Hub 이미지의 기본 운영 체제에 대한 통계";
• «보안에 민감한 환경의 Docker 및 Kubernetes";
• «호스트에 대한 루트 권한을 얻을 수 있는 runc의 취약점 CVE-2019-5736";
• «취약한 Docker VM - Docker 및 침투 테스트를 위한 퍼즐 가상 머신".

출처 : habr.com