Тысячи образов на Docker Hub раскрывают секреты аутентификации и закрытые ключи
Тысячи образов на Docker Hub раскрывают секреты аутентификации и закрытые ключи. Фото: из архива RWTH Aachen University
Docker Hub — это облачный репозиторий, позволяющий хранить, публиковать и распространять образы Docker. Эти шаблоны для создания контейнеров включают в себя весь необходимый программный код, среду выполнения, библиотеки, переменные среды и файлы конфигурации для простого развертывания приложения в Docker.
Немецкие исследователи проанализировали 337 171 образ из Docker Hub и тысячи частных реестров и обнаружили, что примерно 8,5% содержат конфиденциальные данные, такие как закрытые ключи и секреты API.
В исследовании утверждается, что многие открытые ключи активно используются, подрывая безопасность элементов, которые от них зависят, таких как сотни сертификатов.
В ходе исследования был собран массивный набор данных из 1 647 300 слоев из 337 171 образа Docker. Специалисты по возможности извлекали последние версии образов из каждого репозитория.
Анализ данных с использованием регулярных фильтров для поиска определенных секретов выявил раскрытие 52 107 действительных закрытых ключей и 3158 различных секретов API в 28 621 образе Docker.
Большинство раскрытых ключей и секретов API находились в однопользовательских образах, что указывает на то, что утечка была допущена непреднамеренно.
Вызывает тревогу тот факт, что было обнаружено 22 082 скомпрометированных сертификата, основанных на раскрытых закрытых ключах, в том числе 7 546 частных сертификатов, подписанных ЦС, и 1060 открытых сертификатов, подписанных ЦС.
Особую озабоченность вызывают тысячи сертификатов, подписанных ЦС, поскольку эти сертификаты обычно используются большим количеством пользователей и общепризнаны.
На момент исследования 141 сертификат, подписанный ЦС, все еще был действителен, что несколько снизило риск.
Чтобы дополнительно определить использование раскрытых секретов на практике, исследователи использовали 15-месячные измерения в Интернете, предоставленные базой данных Censys, и обнаружили 275 269 хостов, которые полагаются на скомпрометированные ключи.
К ним относятся:
- 8674 узла MQTT и 19 узлов AMQP , которые потенциально могут передавать конфиденциальные данные Интернета вещей (IoT).
- 6672 FTP , 426 PostgreSQL , 3 Elasticsearch и 3 экземпляра MySQL , которые обслуживают потенциально конфиденциальные данные.
- 216 SIP-хостов , используемых для телефонии.
- 8 165 SMTP , 1 516 POP3 и 1 798 IMAP-серверов , используемых для электронной почты.
- 240 SSH-серверов и 24 экземпляра Kubernetes , которые используют утечку ключей, что может привести к удаленному доступу, расширению ботнетов или дальнейшему доступу к данным.
Этот уровень раскрытия подчеркивает серьезную проблему безопасности контейнеров и небрежное отношение к созданию образов без предварительного очищения их от секретов.
Что касается воздействия API, анализ показал, что большинство контейнеров (2920) принадлежат облачным провайдерам, таким как Amazon AWS, но некоторые относятся к финансовым службам, таким как Stripe.
Однако исследователи сослались на этические ограничения при проверке раскрытых секретов API на конечных точках своих служб, поэтому информации об их использовании на практике нет.
Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.
Статьи по теме
28224
Комментариев пока не было