19% тасвирҳои беҳтарини Docker пароли реша надоранд

Шанбеи гузашта, 18 май, Джерри Гамблин аз Кенна Амният тафтиш карда шуд 1000 тасвирҳои маъмултарин аз Docker Hub дар асоси пароли реша, ки онҳо истифода мебаранд. Дар 19 фоизи ҳолатҳо он холӣ буд.

Замина бо Альпӣ

Сабаби мини-тадқиқот гузориши осебпазирии Талос буд, ки дар аввали ҳамин моҳ нашр шуд (ТАЛОС-2019-0782), муаллифони он - ба шарофати кашфи Питер Адкинс аз Cisco Umbrella - гузориш доданд, ки тасвирҳои Docker бо паҳнкунии контейнерҳои машҳури Alpine пароли реша надоранд:

"Версияҳои расмии тасвирҳои Alpine Linux Docker (аз v3.3) дорои пароли NULL барои корбари реша мебошанд. Ин осебпазирӣ дар натиҷаи регрессия дар моҳи декабри соли 2015 ба вуҷуд омадааст. Моҳияти ин дар он аст, ки системаҳое, ки бо версияҳои мушкили Alpine Linux дар як контейнер ҷойгир шудаанд ва бо истифода аз Linux PAM ё механизми дигаре, ки файли сояи системаро ҳамчун махзани аутентификатсия истифода мебарад, метавонад барои корбари реша пароли NULL-ро қабул кунад."

Версияҳои тасвирҳои Docker бо Alpine, ки барои мушкилот санҷида шудаанд, 3.3–3.9 фарогир ва инчунин версияи охирини edge буданд.

Муаллифон тавсияҳои зеринро барои корбарони зарардида пешниҳод карданд:

"Ҳисоби реша бояд дар тасвирҳои Docker, ки аз версияҳои мушкилоти Alpine сохта шудааст, ба таври возеҳ хомӯш карда шавад. Истифодаи эҳтимолии осебпазирӣ аз муҳити зист вобаста аст, зеро муваффақияти он хидмат ё барномаеро, ки аз берун интиқол дода мешавад, бо истифода аз Linux PAM ё дигар механизми шабеҳ талаб мекунад."

Мушкилот буд бартараф карда шуд дар версияҳои Alpine 3.6.5, 3.7.3, 3.8.4, 3.9.2 ва канори (20190228 акси лахзавӣ) ва аз соҳибони тасвирҳои зарардида хоҳиш карда шуд, ки сатри дорои решаро шарҳ диҳанд /etc/shadow ё боварӣ ҳосил кунед, ки баста нест linux-pam.

Идома бо Docker Hub

Ҷерри Гэмблин тасмим гирифт, ки дар бораи "то чӣ андоза маъмулии истифодаи паролҳои нол дар контейнерҳо метавонад" кунҷкоб шавад. Барои ин вай хурдакак навишт Скрипти Bash, ки моҳияти он хеле содда аст:

• тавассути дархости curl ба API дар Docker Hub, рӯйхати тасвирҳои Docker дар он ҷо ҷойгиршуда дархост карда мешавад;
• тавассути jq он аз рӯи майдон мураттаб карда мешавад popularity, ва аз натицахои ба даст овардашуда хазори аввал боки мемонад;
• барои хар кадоми онхо ичро мешавад docker pull;
• барои ҳар як тасвири аз Docker Hub гирифташуда иҷро карда мешавад docker run бо хондани сатри аввал аз файл /etc/shadow;
• агар арзиши сатр баробар бошад root:::0:::::, номи тасвир дар файли алоҳида захира карда мешавад.

Чӣ гап шуд? ДАР ин файл 194 сатр бо номҳои тасвирҳои маъмули Docker бо системаҳои Linux мавҷуд буданд, ки дар онҳо корбари реша дорои парол нест:

"Дар байни номҳои маъруфи ин рӯйхат govuk/governmentpaas, hashicorp, microsoft, monsanto ва mesosphere буданд. Ва kylemanna/openvpn маъмултарин контейнер дар рӯйхат аст, ки омори он зиёда аз 10 миллион кашиданро ташкил медиҳад."

Бо вуҷуди ин, бояд хотиррасон кард, ки ин падида дар худ маънои осебпазирии мустақимро дар амнияти системаҳое, ки онҳоро истифода мебаранд, надорад: ҳама аз он вобаста аст, ки онҳо чӣ гуна истифода мешаванд (ба шарҳи парвандаи кӯҳии боло нигаред). Бо вуҷуди ин, мо "ахлоқи ҳикоя" -ро борҳо дидаем: соддагии зоҳирӣ аксар вақт як тараф дорад, ки онро ҳамеша дар хотир бояд дошт ва оқибатҳои он дар сенарияҳои истифодаи технологияи шумо ба назар гирифта мешаванд.

PS

Инчунин дар блоги мо хонед:

• «Омори системаҳои оператсионии асосӣ дар тасвирҳо дар Docker Hub»;
• «Docker ва Kubernetes дар муҳити ҳассос ба амният»;
• «Осебпазирии CVE-2019-5736 дар runc, ки ба шумо имкон медиҳад, ки ҳуқуқи решаро дар мизбон ба даст оред»;
• «Docker VM осебпазир - як мошини маҷозии муаммо барои Docker ва пентестинг".

Манбаъ: will.com