Fa poc l'equip de Docker va emetre un avís de seguretat per anunciar l'accés no autoritzat a una base de dades de Docker Hub per part d'una persona no identificada. L'equip de Docker es va adonar de la intrusió que va durar només un breu període el 25 d'abril de el 2019.
La base de dades de Docker Hub va exposar informació confidencial per aproximadament 190,000 usuaris, inclosos els noms d'usuari i Contrasenyes de hash, Així com tokens per als dipòsits GitHub i Bitbucket l'ús no recomanat per un tercer podria posar en perill la integritat dels dipòsits de codi.
D'acord amb l'opinió de Docker, la informació a la base de dades incloïa tokens d'accés per als dipòsits GitHub i Bitbucket que s'usen per a la compilació automàtica de codi en Docker Hub, així com els noms d'usuari i les contrasenyes un petit percentatge d'usuaris: 190,000 comptes d'usuaris que representen menys de el 5% dels usuaris de Docker Hub.
De fet, les claus d'accés GitHub i Bitbucket emmagatzemades en Docker Hub permeten als desenvolupadors modificar el codi del seu projecte i compilar automàticament la imatge en Docker Hub.
Les aplicacions dels afectats podrien ser modificades
El risc potencial per als 190,000 usuaris els comptes estaven exposades és que si un atacant obté accés als seus tokens d'accés, podria obtenir accés al seu repositori de codi privat que podrien modificar en funció de permisos emmagatzemats en el testimoni.
Si bé, si el codi es canvia per motius incorrectes i s'han implementat imatges compromeses, això podria provocar greus atacs a la cadena de subministrament, Ja que les imatges de Docker Hub s'usen comunament en les configuracions i aplicacions de servidor.
En el seu avís de seguretat publicat la nit de divendres, Docker va dir que ja havia revocat tots els tokens i les tecles d'accés a la pantalla.
Docker també va dir que millora els seus processos generals de seguretat i revisa les seves polítiques. També va anunciar que les noves eines de monitorització estan ara en el seu lloc.
No obstant això, és important que els desenvolupadors, que han utilitzat la construcció automàtica de Docker Hub, comprovin els seus repositoris de projectes a la recerca d'accés no autoritzat.
A continuació, l'avís de seguretat publicat per Docker divendres a la nit:
El dijous 25 de abril de 2019, vam descobrir un accés no autoritzat a una única base de dades de Hub que emmagatzema un subconjunt de dades de no usuaris. financera. Després del descobriment, actuem ràpidament per intervenir i assegurar el lloc.
Volem informar-li sobre el que hem après de la nostra investigació en curs, inclosa què comptes de Docker Hub es veuen afectades i quines mesures han de prendre els usuaris.
Això és el que hem après:
Durant un breu període d'accés no autoritzat a una base de dades de Docker Hub, és possible que s'hagin exposat dades confidencials d'aproximadament 190,000 comptes (menys de el 5% dels usuaris de Hub).
Les dades inclouen els noms d'usuari i les contrasenyes de hash d'un petit percentatge d'aquests usuaris, així com els tokens de Github i Bitbucket per a les construccions automàtiques de Docker.
Acció a prendre:
Demanem als usuaris que canviïn la seva contrasenya en Docker Hub i qualsevol altre compte que comparteixi aquest senyal.
Per als usuaris amb servidors de compilació automàtica que poden haver estat afectats, hem revocat les claus d'accés i els tokens de GitHub i se li demana que torni a connectar-se a les seves repositoris i verifiqui els registres de seguretat per veure si hi ha alguna acció. Es van produir esdeveniments imprevistos.
Pot verificar les accions de seguretat en els seus comptes de GitHub o BitBucket per veure si s'ha produït algun accés inesperat en les últimes 24 hores.
Això pot afectar les seves compilacions actuals del nostre servei de compilació automatitzat. És possible que hagi de desconnectar i tornar a connectar el seu proveïdor de fonts Github i Bitbucket com es descriu en el següent enllaç.