Araştırmacılar, Docker Hub’da paylaşılan çok sayıda Docker görüntüsünün hassas verileri açığa çıkardığını bulmuşlardır.
Alman üniversitesi RWTH Aachen’deki araştırmacılar tarafından yürütülen bir araştırmaya göre, Docker Hub’da paylaşılan çok sayıda Docker görüntüsü hassas verileri açığa çıkarıyor. Söylemeye gerek yok, bu önemli bir güvenlik riski oluşturuyor.
Geleneksel yazılım geliştirmede, programcılar bir uygulamayı yalnızca başka bir ortama dağıtıldığında hataları veya hataları bulmak için bir bilgi işlem ortamında kodlarlar. Bunu çözmek için geliştiriciler, uygulamalarını bulutta barındırılan kapsayıcılarda çalışması gereken tüm ilgili yapılandırma dosyaları, kitaplıklar ve bağımlılıklarla birlikte paketler. Bu yönteme konteynerizasyon denir.
Docker görüntüleri, konteynerleştirmede kullanılan en yaygın yöntemlerden biridir. Docker, yazılım kapsayıcıları içindeki uygulamaların dağıtımını otomatikleştiren açık kaynaklı bir projedir. Docker Hub, Docker görüntülerinin yaygın olarak kullanılmasını ve paylaşılmasını kolaylaştıran bulut tabanlı bir depodur. Docker Hub, herkesin kullanabileceği 9.000.000’den fazla görüntü içerir.
Konteynırlaştırma, verimli geliştirme ve maliyet tasarrufu için bir araç olarak başladığından ve hızlı bir şekilde benimseme ve uygulamaya geçtiğinden, güvenlik ne yazık ki tasarımında düşük bir önceliğe sahipti – çoğu zaman teknoloji inovasyonunda olduğu gibi.
Araştırmacılar, Docker Hub’dan ve 8.076 özel kayıt defterinden alınan 337.171 görüntüyü analiz etti ve bu görüntülerin 12’de 1’inden fazlasının, özel anahtarlar ve API sırları dahil olmak üzere hassas bilgiler içerdiğini buldu. Kesin olmak gerekirse, 52.107 özel anahtar ve 3.158 sızdırılmış API sırrı buldular. Bu sadece büyük bir güvenlik riski değil, araştırmacılar sızdırılan anahtarların aslında vahşi ortamda kullanıldığını belgeledi.
Araştırmacılar, açığa çıkan bazı anahtarların kullanımda olduğunu keşfettiler, bu da sertifikalar gibi unsurların da risk altında olduğu anlamına geliyor. Aslında, açığa çıkan özel anahtarlara dayanan 22.000’den fazla güvenliği ihlal edilmiş sertifika bulundu. Buna 7.500’den fazla özel ve 1.000’den fazla genel sertifika yetkilisi (CA) imzalı sertifika dahildir.
Sırların çoğu, tek sahiplerin görüntülerinde bulundu, bu, kullanıcıların sırlarını kasıtlı olarak paylaşmadıklarını varsayarsak mantıklı. Araştırmacılar ayrıca görüntü oluşturucuların sırları özel kayıt defterlerine kıyasla Docker Hub’a daha sık yüklediklerini buldu (%9’a karşı %6,3). Bu, özel kayıt defteri kullanıcılarının daha iyi bir güvenlik anlayışına sahip olduğunun bir göstergesi olabilir, belki de bir kayıt defterini barındırmak için gereken daha derin bir teknik anlayış nedeniyle.
İnternet iletişimleri etrafındaki güvenlik etkilerini vurgulamak için araştırmacılar, telefon için kullanılan 216 Oturum Başlatma Protokolü (SIP) ana bilgisayarının yanı sıra e-posta için kullanılan 8.165 SMTP, 1.516 POP3 ve 1.798 IMAP sunucusu buldular. Bu ana bilgisayarlar, sızan özel anahtarları nedeniyle kimliğe bürünme saldırılarına açık olduğundan, saldırganlar burada iletilen hassas verileri dinleyebilir, iletebilir veya değiştirebilir.
Sonuç olarak, görüntü oluşturucular sırları paylaşma konusunda bilgisiz veya dikkatsiz olduğunda, bu büyük bir sorun teşkil eder. Bu açığa çıkan sırlar birlikte büyük bir saldırı yüzeyi oluşturur.
Azaltma
Sırlar kopyalanabilir:
- Aktif olarak, yerel dosya sistemlerindeki sırları görüntüye kopyalarken.
- Pasif olarak, görüntünün oluşturulması sırasında dahil edilen sırları içeren görüntüleri kullanarak.
Her iki davranış da sırların açığa çıkmasına neden olur ve hem görüntü oluşturucuların hem de kullanıcıların güvenliğini etkiler, ancak hafifletmek için farklı bir yaklaşıma ihtiyaç duyarlar.
Bir yandan, görüntü oluşturucular ve editörler, sırlarını herkesin erişebileceği Docker kayıt defterlerine yükledikleri konusunda uyarılmalıdır. Öte yandan, indirilen görüntülere dayalı kapsayıcıları dağıtırken, kullanıcılara dahil edilen sırlar, özellikle de dağıtılan hizmetlerin kimlik doğrulamasını riske atacak şekilde zaten tehlikeye atılmış olabilecek özel anahtarlar hakkında bilgi verilmelidir. Bir görüntüyü yüklerken veya indirirken, TruffleHog veya SecretScanner gibi araçlar, görüntünün tüm katmanlarını içerdiği sırlar için tarayabilir.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE