Главный инженер Kenna Security Джерри Гамблин (Jerry Gamblin) обнаружил, что в 20% популярных Docker-контейнеров присутствует учетная запись суперпользователя, которая не защищена паролем. Поводом для исследования послужили сведения о критической уязвимости CVE-2019-5021, которой оказались подвержены образы Alpine Linux. Дистрибутив этой ОС на протяжении трех лет распространялся через каталог Docker Hub.

Аналогичную проблему при проверке 1000 самых популярных контейнеров репозитория Гамблин обнаружил в 194 случаях. Для этого он подготовил Bash-скрипт, проверяющий файлы /etc/shadow на наличие строки root:::0:::::. С его помощью эксперт нашел контейнеры с незащищенной паролем учетной записью суперпользователя. Самым популярным среди них оказался kylemanna / openvpn, использовавшийся более 10 млн раз. Также в список попали контейнеры от Microsoft, Monsanto, HashiCorp, Mesosphere и правительства Великобритании.

«Результаты интересны, но не хочу показаться паникером. То, что в контейнере нет пароля суперпользователя, не обязательно означает, что он уязвим», — пояснил Гамблин. Эта проблема представляет опасность только в тех случаях, когда в системе задействованы подключаемые модули аутентификации Linux PAM или Shadow. Тем не менее, эксперт рекомендует избегать развертывания контейнеров, в которых возможна авторизация в качестве суперпользователя.

В марте 2018 года злоумышленники успешно использовали Docker Hub для распространения майнеров под видом средств для работы с Apache, Tomcat, MySQL, cron и другими популярными программными продуктами. Зараженные контейнеры были загружены жертвами около 5 млн раз, что в результате позволило мошенникам заработать около $90 тыс.

Категории: Уязвимости