(https://i.imgur.com/XJooaut.png)
Investigadores de la Universidad RWTH Aachen en Alemania publicaron un estudio que revela que decenas de miles de imágenes de contenedores alojadas en Docker Hub contienen secretos confidenciales, exponiendo software, plataformas en línea y usuarios a una superficie de ataque masiva.
Docker Hub es un repositorio basado en la nube para que la comunidad de Docker almacene, comparta y distribuya imágenes de Docker. Estas plantillas de creación de contenedores incluyen todo el código de software, tiempo de ejecución, bibliotecas, variables de entorno y archivos de configuración necesarios para implementar fácilmente una aplicación en Docker.
(https://i.imgur.com/btfJggn.png)
Diagrama de creación de imágenes de Docker (arxiv.org)
Los investigadores alemanes analizaron 337.171 imágenes de Docker Hub y miles de registros privados y encontraron que aproximadamente el 8,5% contiene datos confidenciales, como claves privadas y secretos de API.
El documento muestra además que muchas de las claves expuestas se utilizan activamente, socavando la seguridad de los elementos que dependen de ellas, como cientos de certificados.
(Inadvertidamente) exponiendo secretosEl estudio reunió un conjunto de datos masivo de 1.647.300 capas a partir de 337.171 imágenes de Docker, obteniendo las últimas versiones de imágenes de cada repositorio cuando fue posible.
El análisis de datos utilizando expresiones regulares para buscar secretos específicos reveló la exposición de 52.107 claves privadas válidas y 3.158 secretos API distintos en 28.621 imágenes de Docker.
Las cifras anteriores fueron validadas por los investigadores excluyendo claves de prueba, secretos API de ejemplo y coincidencias no válidas.
(https://i.imgur.com/Ycr5qOr.png)
Conclusiones de los secretos finales (arxiv.org)
La mayoría de los secretos expuestos, el 95% para claves privadas y el 90% para secretos de API, residían en imágenes de un solo usuario, lo que indica que probablemente se filtraron involuntariamente.
(https://i.imgur.com/ERbAfE2.png)
El mayor impacto fue en Docker Hub, que tuvo un porcentaje de exposición secreta del 9,0%, mientras que las imágenes procedentes de registros privados expusieron secretos a una tasa del 6,3%.
Esta diferencia puede indicar que los usuarios de Docker Hub suelen tener una comprensión más deficiente de la seguridad de los contenedores que los que configuran repositorios privados.
(https://i.imgur.com/76bVG0L.png)
Uso de teclas expuestasA continuación, los investigadores necesitaban determinar el uso real de los secretos expuestos para apreciar el tamaño de la superficie de ataque.
De manera alarmante, se encontraron 22.082 certificados comprometidos que dependían de las claves privadas expuestas, incluidos 7.546 certificados privados firmados por CA y 1.060 certificados firmados por CA públicas.
Los mil certificados firmados por CA son motivo de especial preocupación, ya que estos certificados suelen ser utilizados por un gran número de usuarios y son universalmente aceptados.
En el momento del estudio, 141 certificados firmados por CA seguían siendo válidos, lo que disminuyó un poco el riesgo.
Para determinar aún más el uso de los secretos expuestos en la naturaleza, los investigadores utilizaron 15 meses de mediciones en todo Internet proporcionadas por la base de datos Censys y encontraron 275,269 hosts que dependen de las claves comprometidas.
Estos incluyen:
- 8.674 hosts MQTT y 19 AMQP que potencialmente transfieren datos de Internet de las cosas (IoT) sensibles a la privacidad.
- 6.672 instancias de FTP, 426 de PostgreSQL, 3 de Elasticsearch y 3 de MySQL que sirven datos potencialmente confidenciales.
- 216 hosts SIP utilizados para telefonía.
- 8.165 servidores SMTP, 1.516 POP3 y 1.798 servidores IMAP utilizados para correo electrónico.
- 240 servidores SSH y 24 instancias de Kubernetes que utilizan claves filtradas que pueden conducir al acceso remoto al shell, la extensión de botnets o el acceso adicional a los datos.
(https://i.imgur.com/Q3QSECU.png)
Este nivel de exposición resalta un problema masivo en la seguridad de los contenedores y un descuido en la creación de imágenes sin primero desinfectarlas de secretos.
Con respecto a la exposición de la API, el análisis encontró que la mayoría de los contenedores (2.920) pertenecen a proveedores de nube como Amazon AWS, pero algunos pertenecían a servicios financieros como Stripe.
Sin embargo, los investigadores citaron limitaciones éticas en la validación de secretos API expuestos contra sus puntos finales de servicio, por lo que se desconoce su uso en la naturaleza.
Fuente: https://www.bleepingcomputer.com