Hàng nghìn image được lưu trên Docker Hub để lộ các khóa bí mật

Các nhà nghiên cứu tại Đại học RWTH Aachen ở Đức đã công bố một nghiên cứu tiết lộ rằng hàng chục nghìn container image được lưu trữ trên Docker Hub chứa các khóa bí mật (secret), khiến nhiều phần mềm, nền tảng trực tuyến và người dùng đối mặt với nguy cơ bị xâm phạm trong một cuộc tấn công quy mô lớn.

Docker Hub là kho lưu trữ dựa trên cloud dành cho cộng đồng Docker để lưu trữ, chia sẻ và phân phối các image Docker. Các template tạo container này bao gồm tất cả mã nguồn phần mềm, thời gian chạy, thư viện, biến môi trường và tệp cấu hình cần thiết để dễ dàng triển khai một ứng dụng trong Docker.

Các nhà nghiên cứu đã phân tích 337.171 image từ Docker Hub và hàng nghìn cơ quan đăng ký tư nhân và phát hiện ra rằng khoảng 8,5% có chứa dữ liệu nhạy cảm như các khóa bí mật (private key) và các khóa xác thực API (API secret). Nhiều khóa bị lộ vẫn đang được sử dụng, điều này làm suy yếu tính bảo mật của các hệ thống phụ thuộc vào chúng.

Qua phân tích dữ liệu, các nhà nghiên cứu đã phát hiện 52.107 private key hợp lệ và 3.158 API secret khác nhau trong 28.621 image Docker. Các số liệu này đã được xác thực, loại trừ các khóa thử nghiệm, API secret mẫu và các kết quả không hợp lệ.

Hầu hết các khóa bị lộ chỉ thuộc image của một người dùng, cho thấy chúng có khả năng bị rò rỉ ngoài ý muốn.

Tỷ lệ các khóa bí mật bị lộ cao nhất là trên Docker Hub, có tỷ lệ lộ là 9,0%, trong khi các image có nguồn gốc từ các cơ quan đăng ký tư nhân bị lộ với tỷ lệ 6,3%. Sự khác biệt này có thể cho thấy người dùng Docker Hub ít chú trọng đến vấn đề bảo mật hơn so với những người thiết lập kho lưu trữ riêng.

Sử dụng các khóa bị lộ

Đáng báo động là 22.082 chứng chỉ bị xâm phạm dựa trên các khóa bí mật bị lộ đã được xác định, bao gồm 7.546 chứng chỉ có chữ ký CA riêng và 1.060 chứng chỉ có chữ ký CA công khai.

Hàng nghìn chứng chỉ do CA ký là mối quan tâm đặc biệt vì những chứng chỉ này thường được sử dụng bởi số lượng lớn người dùng và được chấp nhận rộng rãi. Tại thời điểm nghiên cứu, 141 chứng chỉ do CA ký vẫn còn hiệu lực.

Để xác định việc sử dụng các khóa bị lộ trong thực tế, các nhà nghiên cứu đã sử dụng dữ liệu theo dõi trên toàn Internet trong 15 tháng được cung cấp bởi cơ sở dữ liệu Censys và phát hiện 275.269 máy chủ sử dụng các khóa bị xâm phạm, bao gồm:

- 8.674 máy chủ MQTT và 19 máy chủ AMQP có khả năng truyền dữ liệu IoT nhạy cảm.

- 6.672 máy chủ FTP, 426 PostgreSQL, 3 Elaticsearch và 3 phiên bản MySQL có khả năng lưu trữ dữ liệu nhạy cảm.

- 216 máy chủ SIP được sử dụng cho điện thoại.

- 8.165 máy chủ SMTP, 1.516 POP3 và 1.798 IMAP được sử dụng cho email.

- 240 máy chủ SSH và 24 phiên bản Kubernetes sử dụng các khóa bị rò rỉ có thể dẫn đến truy cập trái phép vào máy chủ hoặc dữ liệu khác và mở rộng mạng botnet.

Về mức độ lộ lọt các khóa API, phân tích cho thấy hầu hết các container (2.920) thuộc về các nhà cung cấp cloud như Amazon AWS, một số khác liên quan đến các dịch vụ tài chính như Stripe.

Các phát hiện trên làm nổi bật một vấn đề lớn trong bảo mật container và sự bất cẩn trong việc tạo các image mà không loại bỏ hết các bí mật.

Để giảm thiểu các nguy cơ bị tấn công, người dùng nên kiểm tra và thay đổi các khóa bí mật đã bị lộ, đồng thời, đảm bảo loại bỏ hết các khóa bí mật trước khi tạo các image và lưu trữ nó trên Docker Hub hay các kho lưu trữ khác.

Nguồn: bleepingcomputer.com.