19% tal-immaġini Docker ta 'fuq m'għandhomx password tal-għeruq

Is-Sibt li għadda, 18 ta’ Mejju, Jerry Gamblin ta’ Kenna Security iċċekkjat L-1000 immaġini l-aktar popolari minn Docker Hub bil-password li jużaw għall-utent għerq. F'19% tal-każijiet irriżulta li kien vojt.

Sfond ma Alpine

Ir-raġuni għall-mini-studju kien ir-Rapport tal-Vulnerabilità Talos li deher aktar kmieni dan ix-xahar (TALOS-2019-0782), li l-awturi tagħhom - grazzi għall-iskoperta ta 'Peter Adkins minn Cisco Umbrella - irrappurtaw li l-immaġini Docker bid-distribuzzjoni popolari tal-kontejners Alpine m'għandhomx password tal-għeruq:

“Verżjonijiet uffiċjali tal-immaġini Alpine Linux Docker (li jibdew minn v3.3) fihom password NULL għall-utent root. Din il-vulnerabbiltà dehret bħala riżultat ta’ rigressjoni ppreżentata f’Diċembru 2015. L-essenza tagħha tirriżulta mill-fatt li s-sistemi skjerati b'verżjonijiet problematiċi ta 'Alpine Linux f'kontenitur u li jużaw Linux PAM jew mekkaniżmu ieħor li juża l-fajl shadow tas-sistema bħala database għall-awtentikazzjoni jistgħu jaċċettaw password nulla (NULL) għall-utent għerq.

Il-verżjonijiet tal-immaġini Alpine Docker ttestjati għall-problema kienu 3.3-3.9 inklużi, kif ukoll l-aħħar rilaxx ta 'tarf.

L-awturi għamlu r-rakkomandazzjoni li ġejja lill-utenti affettwati:

"Il-kont tal-għeruq għandu jkun espliċitament diżattivat fl-immaġini Docker mibnija minn verżjonijiet problematiċi ta 'Alpine. L-esplojtazzjoni probabbli tal-vulnerabbiltà tiddependi fuq l-ambjent, peress li s-suċċess tagħha jeħtieġ servizz jew applikazzjoni mibgħuta esternament bl-użu tal-Linux PAM jew mekkaniżmu simili ieħor.

Il-problema kienet eliminati fil-verżjonijiet Alpini 3.6.5, 3.7.3, 3.8.4, 3.9.2 u edge (20190228 snapshot), u s-sidien tal-immaġini affettwati ntalbu jikkummentaw il-linja bl-għerq f' /etc/shadow jew kun żgur li l-pakkett ikun nieqes linux-pam.

Tkompli minn Docker Hub

Jerry Gamblin iddeċieda li jistaqsi dwar "kemm tista' tkun komuni l-prattika li tuża passwords nulli f'kontenituri." Biex tagħmel dan, kiteb żgħir skript bash, li l-essenza tagħha hija sempliċi ħafna:

• permezz ta' talba curl lill-API f'Docker Hub, tintalab lista ta' immaġini Docker ospitati hemmhekk;
• permezz jq it sorts by field popularity, u mir-riżultati miksuba, jibqa’ l-ewwel elf;
• għal kull wieħed minnhom, docker pull;
• għal kull immaġini riċevuta minn Docker Hub, docker run qari l-ewwel linja mill-fajl /etc/shadow;
• jekk il-valur string huwa ugwali għal root:::0:::::, l-isem tal-immaġni jiġi ffrankat f'fajl separat.

X'ġara? IN dan il-fajl kien hemm 194 linja bl-ismijiet ta 'immaġini Docker popolari b'sistemi Linux, li fihom l-utent għerq m'għandux sett ta' password:

“Fost l-aktar ismijiet famużi f’din il-lista kien hemm govuk/governmentpaas, hashicorp, microsoft, monsanto u mesosphere. U kylemanna/openvpn huwa l-aktar kontenitur popolari fuq il-lista, b’aktar minn 10 miljun ġibda.”

Madankollu, ta’ min ifakkar li dan il-fenomenu fih innifsu ma jfissirx vulnerabbiltà diretta fis-sigurtà tas-sistemi li jużawhom: kollox jiddependi minn kif jiġu użati eżattament. (ara l-kumment mill-każ Alpine hawn fuq). Madankollu, diġà rajna l-"morali ta 'din l-istorja" ħafna drabi: is-sempliċità apparenti ħafna drabi jkollha żvantaġġ, li għandek dejjem tiftakar u tqis il-konsegwenzi tagħha fix-xenarji tiegħek għall-użu tat-teknoloġija.

PS

Aqra wkoll fuq il-blog tagħna:

• «Statistika dwar sistemi operattivi bażi f'immaġini fuq Docker Hub»;
• «Docker u Kubernetes f'ambjenti esiġenti għas-sigurtà»;
• «Vulnerabbiltà CVE-2019-5736 f'runc, li tippermetti li jinkisbu drittijiet tal-għeruq fuq l-host»;
• «Vulnerabbli Docker VM - magna virtwali puzzle għal Docker u pentesting".

Sors: www.habr.com