Alman araştırmacılar, 12 Docker Hub görüntüsünden birden fazlasının kimlik bilgileri veya API sırları gibi sırları sızdırdığını keşfetti.
RWTH Aachen Üniversitesi’nden dört araştırmacı, küresel IPv4 adres alanını tarayarak Docker Hub ve diğer özel kayıtlarda 340.000’den fazla görüntü buldu ve bu görüntülerin yüzde 8,5’i (28.621 görüntü) sır içeriyordu.
Bunlar arasında 52.000’den fazla özel anahtar ve 3000’den fazla API sırrı vardı.
Araştırmacılar, arXiv’de yayınlanan bir makalede, bu sırlardan bazılarının “vahşi” kullanıldığını söyledi.
IPv4 adres alanı taramasında keşfettikleri hizmetlere baktıklarında, “genel sertifika yetkilileri tarafından verilen güvenliği ihlal edilmiş anahtarlara” dayanan 1060 sertifika buldular, ancak daha kötüsü: “Kimlik doğrulama için sızdırılmış özel anahtarlar kullanan 275.269 TLS ve SSH ana bilgisayarı bulduk.”
Araştırmacıların bulduğu yalnızca 740 güvenliği ihlal edilmiş özel anahtar, “HTTP, AMQP sağlayan 275.269 İnternet üzerinden erişilebilen ana bilgisayarın gerçekliğini etkiledi” [advanced message queueing protocol]MQTT [a lightweight IoT messaging protocol]ve LDAP [lightweight directory access protocol] Hizmetler”.
Sızan sırların doğal olarak ciddi sonuçları var.
Makalede, araştırmacılar “paylaşılan bir sertifika özel anahtarının kimliğe bürünme saldırısına yol açabileceğine” dikkat çekiyor.
“Paylaşılan API sırları söz konusu olduğunda, dağıtılan tüm kapsayıcılar aynı API belirtecini kullanabilir ve bu da en iyi durumda hız sınırlarının tükenmesine yol açabilir, ancak aynı zamanda özel verilerin üzerine yazılmasına veya yeterince güvenli hale getirilmemesine de neden olabilir” diye yazdılar.
“Tek bir API belirteci, ince ayrıntılı hariç tutmalara izin vermediğinden, yani tüm kullanıcılar için geçerli veya iptal edildiğinden, bir iptal aynı zamanda iyi huylu kullanıcıları da etkileyebilir.”
Araştırmacılar ayrıca sızan sırların hangi protokollerle ilişkili olduğunu da inceledi çünkü bazı protokollerin hassas bilgiler için kullanılması daha olası.
FTP, PostgreSQL, MySQL, SIP, SMTP, POP3, IMAP, SSH ve HTTPS’yi kapsayan protokol listesinin kapsamlı olduğu ortaya çıktı.
Araştırmacılar, görüntü oluşturucuların halka açık Docker kayıt defterlerine sır yüklemeye karşı uyarılması gerektiğini ve indirilen görüntülere dayalı kapsayıcılar dağıtırken, kullanıcıların özel anahtarlar gibi sırların zaten ele geçirilmiş olabileceği konusunda uyarılması gerektiğini vurguladı.
Ayrıca “TruffleHog veya SecretScanner gibi kimlik bilgisi bulma araçlarının … Docker paradigmasının her iki tarafına da entegre edilmesini” öneriyorlar.
Makalenin arkasındaki araştırmacılar Markus Dahlmanns, Constantin Sander, Robin Decker ve Klaus Wehrle’dir.