Baru-baru ini tim Docker mengeluarkan nasihat keamanan untuk mengumumkan akses tidak sah ke database Docker Hub oleh orang tak dikenal. Tim Docker menyadari gangguan yang hanya berlangsung sebentar pada 25 April 2019.
Database Docker Hub mengungkapkan informasi sensitif untuk sekitar 190,000 pengguna, termasuk nama pengguna dan sandi yang di-hash, serta token untuk repositori GitHub dan Bitbucket yang penggunaannya tidak direkomendasikan oleh pihak ketiga dapat membahayakan integritas repositori kode.
Menurut pendapat Docker, informasi dalam database termasuk token akses untuk repositori GitHub dan Bitbucket yang digunakan untuk kompilasi kode otomatis di Docker Hub, serta nama pengguna dan kata sandi sebagian kecil pengguna: 190,000 akun pengguna Mereka mewakili kurang dari 5% pengguna Docker Hub.
Faktanya, Kunci akses GitHub dan Bitbucket yang disimpan di Docker Hub memungkinkan pengembang mengubah kode proyek mereka dan secara otomatis mengkompilasi image ke Docker Hub.
Aplikasi yang terpengaruh dapat dimodifikasi
Resiko potensial untuk 190,000 pengguna yang akunnya terekspos adalah jika penyerang mendapatkan akses ke token akses mereka, Anda bisa mendapatkan akses ke repositori kode pribadi mereka yang dapat mereka modifikasi berdasarkan izin yang disimpan dalam token.
Namun, jika kode diubah karena alasan yang salah dan gambar yang disusupi telah diterapkan, ini dapat menyebabkan serangan rantai pasokan yang seriuskarena image Docker Hub biasanya digunakan dalam aplikasi dan konfigurasi server.
Dalam nasihat keamanan Anda yang diposting Jumat malam, Docker mengatakan bahwa itu telah mencabut semua token dan kunci akses di layar.
Docker juga mengatakan itu meningkatkan proses keamanan secara keseluruhan dan meninjau kebijakannya. Dia juga mengumumkan bahwa alat pemantauan baru sekarang sudah siap.
Namun, penting bagi pengembang, yang telah menggunakan build otomatis Docker Hub, periksa repositori proyek Anda untuk akses yang tidak sah.
Berikut adalah peringatan keamanan yang diposting oleh Docker pada Jumat malam:
Pada hari Kamis, 25 April 2019, kami menemukan akses tidak sah ke satu database Hub yang menyimpan subset data non-pengguna. keuangan Setelah ditemukan, kami bertindak cepat untuk campur tangan dan mengamankan situs tersebut.
Kami ingin memberi tahu Anda apa yang telah kami pelajari dari penyelidikan kami yang sedang berlangsung, termasuk akun Docker Hub mana yang terpengaruh dan tindakan apa yang harus diambil pengguna.
Inilah yang telah kami pelajari:
Selama periode singkat akses tidak sah ke database Docker Hub, data sensitif dari sekitar 190,000 akun (kurang dari 5% pengguna Hub) mungkin telah terungkap.
Data tersebut mencakup nama pengguna dan kata sandi yang di-hash dari sebagian kecil pengguna ini, serta token Github dan Bitbucket untuk pembuatan Docker otomatis.
Tindakan yang harus diambil:
Kami meminta pengguna untuk mengubah kata sandi mereka di Docker Hub dan akun lain yang menggunakan kata sandi ini.
Untuk pengguna dengan server yang dibuat secara otomatis yang mungkin terpengaruh, kami telah mencabut kunci akses dan token dari GitHub dan Anda diminta untuk menyambung kembali ke repositori Anda dan memeriksa log keamanan untuk melihat apakah ada tindakan apa pun. Peristiwa tak terduga terjadi.
Anda dapat memeriksa tindakan keamanan di akun GitHub atau BitBucket Anda untuk melihat apakah ada akses yang tidak terduga dalam 24 jam terakhir.
Ini dapat memengaruhi build Anda saat ini dari layanan build otomatis kami. Anda mungkin perlu memutuskan dan menghubungkan kembali penyedia sumber Github dan Bitbucket Anda dijelaskan dalam tautan di bawah ini.