ٹاپ ڈوکر امیجز میں سے 19% میں روٹ پاس ورڈ نہیں ہے۔

گزشتہ ہفتہ، مئی 18، کینا سیکیورٹی کے جیری گیمبلن چیک کیا ڈوکر ہب کی 1000 سب سے زیادہ مقبول تصاویر اس پاس ورڈ کے ذریعے جو وہ روٹ صارف کے لیے استعمال کرتے ہیں۔ 19% معاملات میں یہ خالی نکلا۔

الپائن کے ساتھ پس منظر

منی اسٹڈی کی وجہ Talos Vulnerability Report تھی جو اس ماہ کے شروع میں سامنے آئی تھی (TALOS-2019-0782)، جس کے مصنفین نے - سسکو امبریلا سے پیٹر ایڈکنز کی دریافت کی بدولت - اطلاع دی کہ مقبول الپائن کنٹینر کی تقسیم کے ساتھ ڈوکر امیجز کا روٹ پاس ورڈ نہیں ہے:

"الپائن لینکس ڈوکر امیجز کے آفیشل ورژن (v3.3 سے شروع ہونے والے) میں روٹ صارف کے لیے NULL پاس ورڈ ہوتا ہے۔ یہ کمزوری دسمبر 2015 میں پیش کردہ رجعت کے نتیجے میں ظاہر ہوئی۔ اس کا جوہر اس حقیقت پر ابلتا ہے کہ ایک کنٹینر میں الپائن لینکس کے مشکل ورژن کے ساتھ تعینات کردہ سسٹمز اور لینکس پی اے ایم یا کسی اور طریقہ کار کو استعمال کرتے ہوئے جو سسٹم شیڈو فائل کو توثیق کے لیے ڈیٹا بیس کے طور پر استعمال کرتا ہے، روٹ صارف کے لیے ایک null (NULL) پاس ورڈ قبول کر سکتا ہے۔

مسئلہ کے لیے آزمائے گئے الپائن ڈوکر امیجز کے ورژن 3.3-3.9 شامل تھے، نیز تازہ ترین ریلیز ایج آف۔

مصنفین نے متاثرہ صارفین کے لیے درج ذیل سفارشات کی ہیں۔

"الپائن کے مشکل ورژن سے بنی ڈوکر امیجز میں روٹ اکاؤنٹ کو واضح طور پر غیر فعال کیا جانا چاہیے۔ خطرے کے ممکنہ استحصال کا انحصار ماحول پر ہے، کیونکہ اس کی کامیابی کے لیے لینکس PAM یا اسی طرح کے دیگر میکانزم کا استعمال کرتے ہوئے بیرونی طور پر فارورڈ کردہ سروس یا ایپلیکیشن کی ضرورت ہوتی ہے۔

مسئلہ تھا۔ ختم کر دیا الپائن ورژن 3.6.5، 3.7.3، 3.8.4، 3.9.2 اور ایج (20190228 سنیپ شاٹ) میں، اور متاثرہ تصاویر کے مالکان سے کہا گیا کہ وہ روٹ ان کے ساتھ لائن پر تبصرہ کریں۔ /etc/shadow یا یقینی بنائیں کہ پیکیج غائب ہے۔ linux-pam.

Docker Hub سے جاری

جیری گیمبلن نے اس بارے میں استفسار کرنے کا فیصلہ کیا کہ "کنٹینرز میں کالعدم پاس ورڈ استعمال کرنے کا رواج کتنا عام ہو سکتا ہے۔" ایسا کرنے کے لئے، انہوں نے ایک چھوٹا سا لکھا bash سکرپٹ، جس کا جوہر بہت آسان ہے:

• ڈوکر ہب میں API کو کرل کی درخواست کے ذریعے، وہاں میزبانی کی گئی ڈاکر امیجز کی ایک فہرست کی درخواست کی گئی ہے۔
• jq کے ذریعے یہ فیلڈ کے لحاظ سے ترتیب دیتا ہے۔ popularity، اور حاصل کردہ نتائج سے، پہلے ہزار باقی ہیں؛
• ان میں سے ہر ایک کے لیے، docker pull;
• Docker Hub سے موصول ہونے والی ہر تصویر کے لیے، docker run فائل سے پہلی لائن پڑھنا /etc/shadow;
• اگر سٹرنگ ویلیو برابر ہے۔ root:::0:::::، تصویر کا نام الگ فائل میں محفوظ کیا جاتا ہے۔

کیا ہوا؟ میں یہ فائل لینکس سسٹم کے ساتھ مقبول ڈاکر امیجز کے ناموں کے ساتھ 194 لائنیں تھیں، جن میں روٹ صارف کے پاس پاس ورڈ سیٹ نہیں ہے:

"اس فہرست میں سب سے مشہور ناموں میں govuk/governmentpaas، hashicorp، microsoft، monsanto اور mesosphere شامل ہیں۔ اور kylemanna/openvpn فہرست میں سب سے زیادہ مقبول کنٹینر ہے، جس میں 10 ملین سے زیادہ پلز ہیں۔

تاہم، یہ یاد رکھنے کے قابل ہے کہ اس رجحان کا بذات خود ان نظاموں کی سلامتی میں براہ راست کمزوری کا مطلب نہیں ہے جو انہیں استعمال کرتے ہیں: یہ سب اس بات پر منحصر ہے کہ وہ کس طرح استعمال ہوتے ہیں۔ (اوپر الپائن کیس سے تبصرہ دیکھیں). تاہم، ہم پہلے ہی "اس کہانی کا اخلاق" کئی بار دیکھ چکے ہیں: ظاہری سادگی کا اکثر منفی پہلو ہوتا ہے، جسے آپ کو ہمیشہ یاد رکھنا چاہیے اور ٹیکنالوجی کے استعمال کے لیے آپ کے منظرناموں میں اس کے نتائج کو ذہن میں رکھنا چاہیے۔

PS

ہمارے بلاگ پر بھی پڑھیں:

• «Docker Hub پر تصاویر میں بیس آپریٹنگ سسٹم کے اعدادوشمار؛ "
• «سیکیورٹی کا مطالبہ کرنے والے ماحول میں ڈوکر اور کبرنیٹس؛ "
• «Vulnerability CVE-2019-5736 Runc میں، میزبان پر جڑ کے حقوق حاصل کرنے کی اجازت دیتا ہے؛ "
• «کمزور ڈوکر VM - ڈوکر اور پینٹسٹنگ کے لئے ایک پہیلی ورچوئل مشین'.

ماخذ: www.habr.com