19% tina gambar Docker luhur teu gaduh kecap akses root

Saptu kamari 18 Mei, Jerry Gamblin of Kenna Security dipariksa 1000 gambar anu pang populerna ti Docker Hub dumasar kana kecap akses root anu aranjeunna anggo. Dina 19% kasus éta kosong.

Latar sareng Alpine

Alesan pikeun mini-panalungtikan éta Talos Vulnerability Report anu muncul awal bulan ieu (TALOS-2019-0782), panulis anu - hatur nuhun kana pamanggihan Peter Adkins ti Cisco Umbrella - ngalaporkeun yén gambar Docker kalayan distribusi wadahna Alpine anu populér henteu ngagaduhan kecap konci akar:

"Vérsi resmi gambar Alpine Linux Docker (saprak v3.3) ngandung sandi NULL pikeun pamaké root. Kerentanan ieu disababkeun ku régrési anu diwanohkeun dina bulan Désémber 2015. Inti tina ieu nyaéta yén sistem anu dipasang sareng versi masalah tina Alpine Linux dina wadah sareng nganggo Linux PAM atanapi mékanisme sanés anu nganggo file bayangan sistem salaku pangkalan data auténtikasi tiasa nampi kecap konci NULL pikeun pangguna akar.

Versi gambar Docker sareng Alpine diuji pikeun masalahna nyaéta 3.3-3.9 inklusif, ogé sékrési edge panganyarna.

Panulis ngadamel rekomendasi ieu pikeun pangguna anu kapangaruhan:

"Akun akar kedah ditumpurkeun sacara eksplisit dina gambar Docker anu diwangun tina versi masalah Alpine. Kamungkinan eksploitasi kerentanan gumantung kana lingkungan, sabab kasuksésanna butuh jasa atanapi aplikasi anu diteruskeun sacara éksternal nganggo Linux PAM atanapi mékanisme anu sami."

masalahna éta ngaleungitkeun dina versi Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 jeung tepi (20190228 snapshot), jeung nu boga gambar kapangaruhan ku eta dipenta pikeun mairan kaluar garis kalawan root dina. /etc/shadow atawa pastikeun pakét leungit linux-pam.

Dituluykeun ku Docker Hub

Jerry Gamblin mutuskeun janten panasaran ngeunaan "kumaha umumna prakték ngagunakeun kecap konci null dina wadahna." Pikeun tujuan ieu manéhna nulis leutik Aksara Bash, hakekatna saderhana pisan:

• ngaliwatan pamundut curl ka API di Docker Hub, daptar gambar Docker hosted aya dipénta;
• via jq eta diurutkeun dumasar widang popularity, sarta tina hasil diala, sarébu kahiji tetep;
• pikeun masing-masing eta kaeusi docker pull;
• pikeun tiap gambar nampi ti Docker Hub dieksekusi docker run kalayan maca baris kahiji tina file /etc/shadow;
• lamun nilai string sarua jeung root:::0:::::, nami gambar disimpen dina file misah.

Aya naon? DI file ieu Aya 194 garis kalayan nami gambar Docker populér kalayan sistem Linux, dimana pangguna root henteu gaduh set sandi:

"Di antara nami anu paling kasohor dina daptar ieu nyaéta govuk/governmentpaas, hashicorp, microsoft, monsanto sareng mesosphere. Sareng kylemanna/openvpn mangrupikeun wadah anu paling populér dina daptar, jumlah statistikna langkung ti 10 juta tarikan.

Perlu diinget, kumaha ogé, yén fenomena ieu nyalira sanés hartosna kerentanan langsung dina kaamanan sistem anu ngagunakeunana: éta sadayana gumantung kana kumaha persisna aranjeunna dianggo. (tingali koméntar tina kasus Alpine di luhur). Najan kitu, urang geus katempo "moral carita" sababaraha kali: kesederhanaan katempo mindeng boga downside, nu kudu salawasna inget sarta konsékuansi nu dicokot kana akun dina skenario aplikasi téhnologi anjeun.

PS

Baca ogé dina blog urang:

• «Statistik ngeunaan sistem operasi anu aya dina gambar dina Docker Hub";
• «Docker sareng Kubernetes dina lingkungan sénsitip kaamanan";
• «Kerentanan CVE-2019-5736 dina runc, anu ngamungkinkeun anjeun kéngingkeun hak akar dina host.";
• «Docker VM rentan - teka-teki virtual pikeun Docker sareng pentesting".

sumber: www.habr.com