Palo Alto Network 公司报告称,无需任何认证即可访问遭一百多个 Docker Registry暴露的数千个代码仓库。
这些注册表中包含关键业务数据如应用程序源代码和历史版本,可导致组织机构的整个云基础设施处于风险之中。
这种暴露导致专有知识产权被盗、运营关键数据遭劫持或者注入恶意代码。
Docker注册表是供存储Docker 镜像并将其整理到仓库的服务器,每个仓库都包含某个应用程序的镜像以及该应用程序多个版本的镜像,且每个镜像都具有一个唯一标签。
Docker 注册表包含对三大操作及推送、拉取和删除镜像的支持。
PaloAlto Networks 公司的安全研究人员表示,在被暴露到互联网上的941个 Docker 注册表中,其中117个注册表并不要求验证。
在被错误配置的注册表中,80个允许拉取操作、92个允许推送操作以及7个允许删除操作。
通过这些注册表中某些包含50多个仓库和100个标签,研究人员共发现2956个应用程序和15887个应用程序版本遭暴露。
安全研究员设法通过反向 DNS 查询或 TLS 证书中的 cnames (无需访问暴露的镜像)将四分之一不安全的注册表归因。
这些注册表属于研究机构、零售商、新闻媒体组织机构和技术公司。
研究人员在博客文章中指出,“通过所有的源代码和历史标签,恶意人员能够设计自定义利用代码攻陷系统。
如果允许推送操作,则善意应用程序镜像可能会被带右后门的镜像取代。
这些注册表也可被用于托管恶意软件。
如果允许执行删除操作,则黑客能够加密或删除这些镜像并要求获得勒索金。
”
PaloAlto Networks 公司指出,这个问题具有更广的隐含意义,因为每个注册表通常均由多个客户端访问,也就是说所有拉取和运行镜像的客户端都易受攻陷。
设置 Docker 注册表服务器较为简单,但要确保通信安全并执行访问控制,则要求进行额外配置。
然而,没有正确的访问控制,则暴露到互联网的注册表服务则会变成风险。
研究人员指出,多数云服务提供商均提供注册表管理服务,而客户也在选择基于云的注册表时获得其它功能,包括 GUI 用户接口、漏洞扫描和一体化访问控制来简化注册表管理。
PaloAlto Networks 公司总结称,“配置错误的 Docker 注册表能够泄露机密信息,导致全面遭攻陷后果并扰乱业务操作。
补救错误配置的战略较简单如增加防火墙规则阻止注册表遭互联网访问并在所有的 API 请求中执行认证标头。
”
https://www.securityweek.com/misconfigured-docker-registries-expose-thousands-repositories
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
