Docker


Security


Χιλιάδες εικόνες στο Docker Hub διαρρέουν μυστικά εξουσιοδότησης, ιδιωτικά κλειδιά

Ερευνητές στο Πανεπιστήμιο RWTH του Άαχεν στη Γερμανία δημοσίευσαν μια μελέτη που αποκαλύπτει ότι δεκάδες χιλιάδες εικόνες κοντέινερ που φιλοξενούνται στο Docker Hub περιέχουν εμπιστευτικά μυστικά, εκθέτοντας λογισμικό, διαδικτυακές πλατφόρμες και χρήστες σε μια τεράστια επιφάνεια επίθεσης.

Το Docker Hub είναι ένα αποθετήριο που βασίζεται σε σύννεφο για την κοινότητα Docker για αποθήκευση, κοινή χρήση και διανομή εικόνων Docker. Αυτά τα πρότυπα δημιουργίας κοντέινερ περιλαμβάνουν όλο τον απαραίτητο κώδικα λογισμικού, χρόνο εκτέλεσης, βιβλιοθήκες, μεταβλητές περιβάλλοντος και αρχεία διαμόρφωσης για την εύκολη ανάπτυξη μιας εφαρμογής στο Docker.

Διάγραμμα δημιουργίας εικόνας Docker

Διάγραμμα δημιουργίας εικόνας Docker


(arxiv.org)

Οι Γερμανοί ερευνητές ανέλυσαν 337.171 εικόνες από το Docker Hub και χιλιάδες ιδιωτικά μητρώα και διαπίστωσαν ότι περίπου το 8,5% περιέχει ευαίσθητα δεδομένα, όπως ιδιωτικά κλειδιά και μυστικά API.

ο

το χαρτί δείχνει περαιτέρω

ότι πολλά από τα εκτεθειμένα κλειδιά χρησιμοποιούνται ενεργά, υπονομεύοντας την ασφάλεια στοιχείων που εξαρτώνται από αυτά, όπως εκατοντάδες πιστοποιητικά.

(ακούσια) αποκάλυψη μυστικών

Η μελέτη συγκέντρωσε ένα τεράστιο σύνολο δεδομένων 1.647.300 επιπέδων από 337.171 εικόνες Docker, προμηθεύοντας τις πιο πρόσφατες εκδόσεις εικόνων από κάθε χώρο αποθήκευσης, όταν είναι δυνατόν.

Η ανάλυση δεδομένων χρησιμοποιώντας κανονικές εκφράσεις για την αναζήτηση συγκεκριμένων μυστικών αποκάλυψε την έκθεση 52.107 έγκυρων ιδιωτικών κλειδιών και 3.158 διακριτών μυστικών API σε 28.621 εικόνες Docker.

Τα παραπάνω στοιχεία επικυρώθηκαν από τους ερευνητές, εξαιρουμένων των κλειδιών δοκιμής, παραδειγμάτων μυστικών API και μη έγκυρων αντιστοιχίσεων.

Αγώνες

Τα τελικά μυστικά ευρήματα


(arxiv.org)

Τα περισσότερα από τα εκτεθειμένα μυστικά, το 95% για τα ιδιωτικά κλειδιά και το 90% για τα μυστικά API, βρίσκονταν σε εικόνες ενός χρήστη, υποδεικνύοντας ότι πιθανότατα διέρρευσαν ακούσια.

Μονοπάτια

Ο υψηλότερος αντίκτυπος ήταν στο Docker Hub, το οποίο είχε ποσοστό μυστικής έκθεσης 9,0%, ενώ οι εικόνες που προέρχονται από ιδιωτικά μητρώα εξέθεταν μυστικά σε ποσοστό 6,3%.

Αυτή η διαφορά μπορεί να υποδηλώνει ότι οι χρήστες του Docker Hub έχουν συνήθως πιο φτωχή κατανόηση της ασφάλειας των κοντέινερ από εκείνους που δημιουργούν ιδιωτικούς χώρους αποθήκευσης.

Που σημαίνει

Χρήση εκτεθειμένων κλειδιών

Στη συνέχεια, οι ερευνητές έπρεπε να προσδιορίσουν την πραγματική χρήση των εκτεθειμένων μυστικών για να εκτιμήσουν το μέγεθος της επιφάνειας επίθεσης.

Ανησυχητικά, βρέθηκαν 22.082 παραβιασμένα πιστοποιητικά που βασίζονται στα εκτεθειμένα ιδιωτικά κλειδιά, συμπεριλαμβανομένων 7.546 ιδιωτικών πιστοποιητικών υπογεγραμμένων από την ΑΠ και 1.060 δημοσίων πιστοποιητικών με υπογραφή CA.

Τα χίλια υπογεγραμμένα πιστοποιητικά CA προκαλούν ιδιαίτερη ανησυχία, καθώς αυτά τα πιστοποιητικά χρησιμοποιούνται συνήθως από μεγάλο αριθμό χρηστών και είναι παγκοσμίως αποδεκτά.

Την εποχή της μελέτης, 141 πιστοποιητικά υπογεγραμμένα από την CA εξακολουθούσαν να ισχύουν, μειώνοντας κάπως τον κίνδυνο.

Για να προσδιορίσουν περαιτέρω τη χρήση των εκτεθειμένων μυστικών στην άγρια ​​φύση, οι ερευνητές χρησιμοποίησαν μετρήσεις 15 μηνών σε όλο το διαδίκτυο που παρέχονται από τη βάση δεδομένων Censys και βρήκαν 275.269 κεντρικούς υπολογιστές που βασίζονται στα παραβιασμένα κλειδιά.

Αυτά περιλαμβάνουν:


  • 8.674 MQTT

    και

    19 οικοδεσπότες AMQP

    που δυνητικά μεταφέρουν δεδομένα ευαίσθητα στο απόρρητο

    (IoT).

  • 6.672 FTP

    ,

    426 PostgreSQL

    ,

    3 Elasticsearch

    και

    3 περιπτώσεις MySQL

    που εξυπηρετούν δυνητικά εμπιστευτικά δεδομένα.

  • 216 κεντρικοί υπολογιστές SIP

    χρησιμοποιείται για τηλεφωνία.

  • 8.165 SMTP

    ,

    1.516 POP3

    και

    1.798 διακομιστές IMAP

    χρησιμοποιείται για email.

  • 240 διακομιστές SSH

    και

    24 περιπτώσεις Kubernetes

    που χρησιμοποιούν κλειδιά που έχουν διαρρεύσει, τα οποία μπορούν να οδηγήσουν σε απομακρυσμένη πρόσβαση, επέκταση των botnets ή περαιτέρω πρόσβαση σε δεδομένα.

Οικοδεσπότες

Αυτό το επίπεδο έκθεσης υπογραμμίζει ένα τεράστιο πρόβλημα στην ασφάλεια των εμπορευματοκιβωτίων και μια απροσεξία στη δημιουργία εικόνων χωρίς προηγουμένως να απολυμαίνονται από μυστικά.

Όσον αφορά την έκθεση API, η ανάλυση διαπίστωσε ότι τα περισσότερα από τα κοντέινερ (2.920) ανήκουν σε παρόχους

όπως το

AWS, αλλά μερικά αφορούσαν χρηματοοικονομικές υπηρεσίες όπως το Stripe.

Ωστόσο, οι ερευνητές ανέφεραν ηθικούς περιορισμούς στην επικύρωση των εκτεθειμένων μυστικών API έναντι των τελικών σημείων της υπηρεσίας τους, επομένως η χρήση τους στη φύση είναι άγνωστη.


bleepingcomputer.com










You might also like


Security




Τα κρίσιμα σφάλματα AMI MegaRAC μπορούν να επιτρέψουν στους χάκερ να δημιουργήσουν…



Internet




Η νέα ετικέτα στον κυβερνοχώρο θα μπορούσε να σας βοηθήσει να αγοράσετε ασφαλέστερες…



Security




Το νέο κακόβουλο λογισμικό τύπου worm P2PInfect στοχεύει διακομιστές Linux και…



Applications




Τι συμβαίνει εάν κάνετε κλικ κατά λάθος σε έναν σύνδεσμο ηλεκτρονικού ψαρέματος



Leave A Reply



Cancel Reply

Your email address will not be published.