🥇19% од најпопуларните Docker слики немаат root лозинка

Минатата сабота, 18 мај, Џери Гемблин од Kenna Security проверено 1000 од најпопуларните слики од Docker Hub врз основа на лозинката за root што ја користат. Во 19% од случаите бил празен.

Позадина со алпски

Причината за мини-истражувањето беше Извештајот за ранливост на Талос кој се појави претходно овој месец (TALOS-2019-0782), чии автори - благодарение на откритието на Питер Адкинс од Cisco Umbrella - објавија дека сликите на Docker со популарната дистрибуција на контејнери Alpine немаат лозинка за root:

„Официјалните верзии на сликите на Alpine Linux Docker (од верзија 3.3) содржат NULL лозинка за root корисникот. Оваа ранливост произлезе од регресија воведена во декември 2015 година. Суштината на ова е дека системите распоредени со проблематични верзии на Alpine Linux во контејнер и користат Linux PAM или друг механизам што ја користи датотеката во сенка на системот како база на податоци за автентикација може да прифатат NULL лозинка за root корисникот.

Верзиите на Docker слики со Alpine тестирани за проблемот беа 3.3–3.9 вклучени, како и најновото издание на edge.

Авторите ја дадоа следната препорака за погодените корисници:

„Root-сметката мора да биде експлицитно оневозможена во сликите на Docker направени од проблематични верзии на Alpine. Веројатната експлоатација на ранливоста зависи од околината, бидејќи нејзиниот успех бара надворешно проследена услуга или апликација користејќи Linux PAM или друг сличен механизам“.

Проблемот беше елиминирани во алпските верзии 3.6.5, 3.7.3, 3.8.4, 3.9.2 и раб (20190228 снимка), а сопствениците на засегнатите слики беа замолени да ја коментираат линијата со root во /etc/shadow или проверете дали пакетот недостасува linux-pam.

Продолжува со Docker Hub

Џери Гемблин реши да биде љубопитен за тоа „колку е вообичаена практиката на користење нулти лозинки во контејнери“. За таа цел напиша мал Баш скрипта, чија суштина е многу едноставна:

преку барање за свиткување до API во Docker Hub, се бара листа на слики на Docker хостирани таму;
преку jq се подредува по поле popularity, а од добиените резултати останува првата илјада;
за секој од нив се исполнува docker pull;
за секоја слика добиена од Docker Hub се извршува docker run со читање на првиот ред од датотеката /etc/shadow;
ако вредноста на низата е еднаква на root:::0:::::, името на сликата е зачувано во посебна датотека.

Што се случи? ВО оваа датотека Имаше 194 линии со имиња на популарни слики на Docker со Linux системи, во кои root корисникот нема поставено лозинка:

„Меѓу најпознатите имиња на оваа листа беа govuk/governmentpaas, hashicorp, microsoft, monsanto и mesosphere. А kylemanna/openvpn е најпопуларниот контејнер на листата, неговата статистика изнесува повеќе од 10 милиони повлекувања“.

Сепак, вреди да се потсетиме дека овој феномен сам по себе не значи директна ранливост во безбедноста на системите што ги користат: се зависи од тоа како точно се користат. (види коментар од случајот Алпин погоре). Сепак, многупати сме го виделе „моралот на приказната“: очигледната едноставност често има негативна страна, која секогаш мора да се памети и чии последици се земаат предвид во сценаријата на вашата технолошка апликација.

PS

Прочитајте и на нашиот блог:

Извор: www.habr.com

19% од најпопуларните Docker слики немаат root лозинка

Позадина со алпски

Продолжува со Docker Hub

PS

Додадете коментар Откажи одговор