Πρόσφατα η ομάδα του Ο Docker εξέδωσε μια συμβουλή ασφαλείας για να ανακοινώσει μη εξουσιοδοτημένη πρόσβαση σε μια βάση δεδομένων Docker Hub από αγνώστων στοιχείων. Η ομάδα του Docker αντιλήφθηκε την εισβολή που διήρκεσε μόνο για σύντομο χρονικό διάστημα στις 25 Απριλίου 2019.
Η βάση δεδομένων Docker Hub εκτέθηκαν ευαίσθητες πληροφορίες για περίπου 190,000 χρήστες, συμπεριλαμβανομένων των ονομάτων χρήστη και των κατακερματισμένων κωδικών πρόσβασης, καθώς και διακριτικά για τα αποθετήρια GitHub και Bitbucket των οποίων η χρήση δεν συνιστάται από τρίτο μέρος θα μπορούσε να θέσει σε κίνδυνο την ακεραιότητα των αποθετηρίων κώδικα.
Σύμφωνα με τη γνώμη του Docker, οι πληροφορίες στη βάση δεδομένων περιελάμβαναν διακριτικά πρόσβασης για τα αποθετήρια GitHub και Bitbucket που χρησιμοποιούνται για την αυτόματη συλλογή κώδικα στο Docker Hub, καθώς και ονόματα χρήστη και κωδικούς πρόσβασης για ένα μικρό ποσοστό χρηστών: 190,000 λογαριασμοί χρηστών Αντιπροσωπεύουν λιγότερο από το 5% των χρηστών του Docker Hub.
Στην πραγματικότητα, Τα κλειδιά πρόσβασης GitHub και Bitbucket που είναι αποθηκευμένα στο Docker Hub επιτρέπουν στους προγραμματιστές να τροποποιούν τον κώδικα του έργου τους και δημιουργήστε αυτόματα την εικόνα στο Docker Hub.
Οι αιτήσεις των θιγόμενων θα μπορούσαν να τροποποιηθούν
Ο πιθανός κίνδυνος για τους 190,000 χρήστες των οποίων οι λογαριασμοί εκτέθηκαν είναι ότι εάν ένας εισβολέας αποκτήσει πρόσβαση στα διακριτικά πρόσβασής του, θα μπορούσαν να αποκτήσουν πρόσβαση στο ιδιωτικό αποθετήριο κωδικών τους που θα μπορούσαν να τροποποιήσουν με βάση τα δικαιώματα που είναι αποθηκευμένα στο διακριτικό.
Αν και ο κώδικας αλλάξει για λάθος λόγους και έχουν αναπτυχθεί παραβιασμένες εικόνες, Αυτό θα μπορούσε να οδηγήσει σε σοβαρές επιθέσεις στην εφοδιαστική αλυσίδα, καθώς οι εικόνες Docker Hub χρησιμοποιούνται συνήθως σε διαμορφώσεις και εφαρμογές διακομιστή.
Στη συμβουλευτική τους για την ασφάλεια που δημοσιεύτηκε την Παρασκευή το βράδυ, Ο Docker είπε ότι είχε ήδη ανακαλέσει όλα τα διακριτικά και τα κλειδιά πρόσβασης στην οθόνη.
Ο Ντόκερ είπε επίσης ότι βελτιώνει τις συνολικές διαδικασίες ασφαλείας και αναθεωρεί τις πολιτικές του. Ανακοίνωσε επίσης ότι υπάρχουν πλέον νέα εργαλεία παρακολούθησης.
Ωστόσο, Είναι σημαντικό ότι οι προγραμματιστές που έχουν χρησιμοποιήσει την αυτόματη κατασκευή του Docker Hub, Ελέγξτε τα αποθετήρια του έργου σας για μη εξουσιοδοτημένη πρόσβαση.
Ακολουθεί η συμβουλή ασφαλείας που δημοσιεύτηκε από το Docker το βράδυ της Παρασκευής:
Την Πέμπτη, 25 Απριλίου 2019, ανακαλύψαμε μη εξουσιοδοτημένη πρόσβαση σε μια ενιαία βάση δεδομένων Hub που αποθηκεύει ένα υποσύνολο δεδομένων μη χρήστη. χρηματοοικονομική. Μετά την ανακάλυψη, ενεργήσαμε γρήγορα για να επέμβουμε και να ασφαλίσουμε τον ιστότοπο.
Θέλουμε να σας ενημερώσουμε τι μάθαμε από την τρέχουσα έρευνά μας, συμπεριλαμβανομένων των λογαριασμών Docker Hub που επηρεάζονται και των ενεργειών που πρέπει να κάνουν οι χρήστες.
Αυτό είναι αυτό που μάθαμε:
Κατά τη διάρκεια μιας σύντομης περιόδου μη εξουσιοδοτημένης πρόσβασης σε μια βάση δεδομένων Docker Hub, ενδέχεται να έχουν εκτεθεί ευαίσθητα δεδομένα από περίπου 190,000 λογαριασμούς (λιγότερο από το 5% των χρηστών του Hub).
Τα δεδομένα περιλαμβάνουν τα ονόματα χρήστη και τους κατακερματισμένους κωδικούς πρόσβασης ενός μικρού ποσοστού αυτών των χρηστών, καθώς και τα διακριτικά Github και Bitbucket για τις αυτοματοποιημένες εκδόσεις του Docker.
Ενέργειες που πρέπει να γίνουν:
Ζητάμε από τους χρήστες να αλλάξουν τον κωδικό πρόσβασής τους στο Docker Hub και τυχόν άλλους λογαριασμούς που μοιράζονται αυτόν τον κωδικό πρόσβασης.
Για χρήστες με διακομιστές αυτόματης κατασκευής που μπορεί να έχουν επηρεαστεί, έχουμε ανακαλέσει τα κλειδιά και τα διακριτικά πρόσβασης GitHub και θα σας ζητηθεί να συνδεθείτε ξανά στα αποθετήρια σας και να ελέγξετε τα αρχεία καταγραφής ασφαλείας για να δούμε αν υπάρχει κάποια ενέργεια. Συνέβησαν απρόβλεπτα γεγονότα.
Μπορείτε να ελέγξετε τις ενέργειες ασφαλείας στους λογαριασμούς σας GitHub ή BitBucket για να δείτε εάν υπήρξε κάποια απροσδόκητη πρόσβαση τις τελευταίες 24 ώρες.
Αυτό μπορεί να επηρεάσει τις τρέχουσες εκδόσεις σας από την αυτοματοποιημένη υπηρεσία κατασκευής μας. Ίσως χρειαστεί να αποσυνδέσετε και να επανασυνδέσετε τον πάροχο τροφοδοσίας Github και Bitbucket ως περιγράφεται στον παρακάτω σύνδεσμο.