Misconfiguraties in root-account van top 20 meest gangbare Docker-containers

Zo’n 20 procent van de 1.000 meest gangbare Docker-containers op de Docker Hub-portal worden beïnvloed door een verkeerde configuratie. Dit vergroot de kans dat gebruikerssystemen onder bepaalde omstandigheden worden blootgesteld aan aanvallen, aldus Jerry Gamblin, principal security engineer bij Kenna Security.

Volgens ZDnet heeft Gamblin de grootte van het probleem onderzocht over de gehele linie van de Docker Hub-pakketrepository. Zo zou hij onder meer 194 Docker-afbeeldingen hebben gevonden, die ook root-accounts met blanco wachtwoorden instellen.

De fout zou vergelijkbaar zijn met de fout die de officiële Alpine Linux Docker-container vorige week beïnvloedde. Cisco Talos-onderzoekers ontdekten, dat Alpine Linux Docker-afbeeldingen een actief root-account hadden met een leeg wachtwoord. Het betreft afbeeldingen, die de afgelopen drie jaar zijn uitgebracht.

Microsoft en Monsanto

Gamblin heeft de lijst met mogelijk kwetsbare Docker-containers op GitHub gepubliceerd. Dit stelt gebruikers van de betreffende afbeeldingen in staat hun eigen systeemconfiguraties te bekijken. Ze kunnen zo zelf vaststellen of ze worden beïnvloed. Bekende namen op de lijst zijn onder meer containers van Microsoft en Monsanto. Daarnaast worden ook namen als HashiCorp, Mesosphere en de Britse overheid genoemd. Gamblin heeft naar eigen zeggen direct contact opgenomen met een handvol namen op de lijst.

“Ik heb de bovenste 1000 Docker-containers uit Docker Hub gehaald en in het bestand / etc / shadow gekeken naar root ::: 0 :::::. Dit betekent dat het root-account actief is, maar geen wachtwoord heeft. Kylemanna / openvpn is de meest populaire container op de lijst en het heeft meer dan 10.000.000 pulls”, aldus Gamblin in een blogpost.

Linux-systemen kwetsbaar

De misconfiguratie vormt geen directe bedreiging voor gebruikers. Linux-systemen, die zijn geconfigureerd om Linux PAM [Pluggable Authentication Modules] en / etc / shadow te gebruiken voor authenticatie, zouden daarentegen wél kwetsbaar zijn. Gamblin: “Nadat we 1.000 containers hadden gecontroleerd en ontdekt dat 20 procent van hen deze configuratie had, werd duidelijk dat eindgebruikers dit type misconfiguratie moeten kennen. Naast dat ze het ook moeten identificeren en aanpakken, als een best practice. Zeker wanneer zij besluiten om elke container in hun omgeving te gebruiken.”

De onderzoeker hoopt dat zijn onderzoek (CVE-2019-5021) het probleem transparanter zal maken voor containerbeheerders.

 

Lees ook: Docker Enterprise 3.0 voorzien van ‘locked-down’ Kubernetes