Pesquisadores da Universidade RWTH Aachen na Alemanha publicaram um estudo revelando que dezenas de milhares de imagens de contêineres hospedadas no Docker Hub contêm segredos confidenciais, expondo softwares, plataformas online e usuários a uma superfície de ataque massiva.
O Docker Hub é um repositório baseado em nuvem para a comunidade Docker armazenar, compartilhar e distribuir imagens Docker.
Esses modelos de criação de contêineres incluem todo o código de software necessário, tempo de execução, bibliotecas, variáveis de ambiente e arquivos de configuração para implantar facilmente um aplicativo no Docker.
Os pesquisadores alemães analisaram 337.171 imagens do Docker Hub e milhares de registros privados e descobriram que aproximadamente 8,5% contêm dados sensíveis, como chaves privadas e segredos de API.
O estudo mostra ainda que muitas das chaves expostas estão sendo usadas ativamente, comprometendo a segurança de elementos que dependem delas, como centenas de certificados.
O estudo montou um conjunto de dados massivo de 1.647.300 camadas de 337.171 imagens do Docker, buscando as versões de imagens mais recentes de cada repositório, quando possível.
A análise de dados usando expressões regulares para buscar segredos específicos revelou a exposição de 52.107 chaves privadas válidas e 3.158 segredos de API distintos em 28.621 imagens do Docker.
Os números acima foram validados pelos pesquisadores, excluindo chaves de teste, segredos de API de exemplo e correspondências inválidas.
A maioria dos segredos expostos, 95% para chaves privadas e 90% para segredos de API, residia em imagens de usuário único, indicando que provavelmente foram vazadas acidentalmente.
O maior impacto foi no Docker Hub, que teve uma porcentagem de exposição de segredos de 9,0%, enquanto as imagens provenientes dos registros privados expuseram segredos a uma taxa de 6,3%.
Essa diferença pode indicar que os usuários do Docker Hub normalmente têm uma compreensão mais pobre da segurança de contêineres do que aqueles que configuram repositórios privados.
Em seguida, os pesquisadores precisaram determinar o uso real dos segredos expostos para apreciar o tamanho da superfície de ataque.
Alarmantemente, 22.082 certificados comprometidos que dependiam das chaves privadas expostas foram encontrados, incluindo 7.546 certificados assinados por CA privada e 1.060 certificados assinados por CA pública.
Os milhares de certificados assinados por CA são especialmente preocupantes, pois esses certificados são normalmente usados por um grande número de usuários e são aceitos universalmente.
No momento do estudo, 141 certificados assinados por CA ainda eram válidos, diminuindo um pouco o risco.
Para determinar ainda mais o uso dos segredos expostos, os pesquisadores utilizaram 15 meses de medidas em toda a internet fornecidas pelo banco de dados Censys e encontraram 275.269 hosts que dependiam das chaves comprometidas.
Esse nível de exposição destaca um grande problema na segurança de contêineres e uma negligência na criação de imagens sem primeiro sanitizá-las de segredos.
Em relação à exposição da API, a análise descobriu que a maioria dos contêineres (2.920) pertence a provedores de nuvem como a Amazon AWS, mas alguns pertenciam a serviços financeiros como a Stripe.
No entanto, os pesquisadores citaram limitações éticas na validação dos segredos de API expostos contra seus pontos de serviço, portanto, seu uso em campo é desconhecido.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...