Baru-baru ini pasukan Docker mengeluarkan nasihat keselamatan untuk mengumumkan akses tanpa izin ke pangkalan data Docker Hub oleh orang yang tidak dikenali. Pasukan Docker menyedari pencerobohan yang berlangsung hanya dalam jangka masa pendek pada 25 April 2019.
Pangkalan data Hub Docker mendedahkan maklumat sensitif untuk kira-kira 190,000 pengguna, termasuk nama pengguna dan kata laluan yang dicincang, serta token untuk repositori GitHub dan Bitbucket yang penggunaannya tidak disarankan oleh pihak ketiga dapat membahayakan integritas repositori kod.
Menurut pendapat Docker, maklumat dalam pangkalan data termasuk token akses untuk repositori GitHub dan Bitbucket yang digunakan untuk penyusunan kod automatik di Docker Hub, serta nama pengguna dan kata laluan dengan peratusan pengguna kecil: 190,000 akaun pengguna Mereka mewakili kurang dari 5% pengguna Docker Hub.
Malah, Kunci akses GitHub dan Bitbucket yang disimpan di Docker Hub membolehkan pemaju mengubah kod projek mereka dan menyusun gambar secara automatik ke Docker Hub.
Aplikasi mereka yang terjejas dapat diubah
Risiko yang berpotensi untuk 190,000 pengguna yang akaunnya terdedah adalah jika penyerang mendapat akses kepada token akses mereka, anda boleh mendapatkan akses ke repositori kod peribadi mereka yang dapat mereka ubah berdasarkan izin yang disimpan dalam token.
Namun, jika kod tersebut diubah dengan alasan yang salah dan gambar yang dikompromikan telah dilaksanakan, ini boleh menyebabkan serangan rantaian bekalan yang seriuskerana gambar Docker Hub biasanya digunakan dalam aplikasi dan konfigurasi pelayan.
Dalam nasihat keselamatan anda yang disiarkan pada Jumaat malam, Docker mengatakan bahawa ia telah mencabut semua token dan kunci akses di skrin.
Docker juga mengatakan bahawa ia meningkatkan keseluruhan proses keselamatannya dan mengkaji dasarnya. Dia juga mengumumkan bahawa alat pemantauan baru kini ada.
Walau bagaimanapun, penting bagi pembangun, yang telah menggunakan binaan automatik Docker Hub, periksa repositori projek anda untuk akses yang tidak dibenarkan.
Berikut adalah nasihat keselamatan yang disiarkan oleh Docker pada malam Jumaat:
Pada hari Khamis, 25 April 2019, kami menemui akses tanpa kebenaran ke satu pangkalan data Hub tunggal yang menyimpan subkumpulan data bukan pengguna. kewangan Setelah menemui, kami bertindak pantas untuk campur tangan dan mengamankan laman web ini.
Kami ingin memberitahu anda apa yang telah kami pelajari dari siasatan kami yang sedang berjalan, termasuk akaun Docker Hub mana yang terpengaruh dan tindakan apa yang harus dilakukan oleh pengguna.
Inilah yang telah kita pelajari:
Dalam jangka masa pendek akses tanpa izin ke pangkalan data Docker Hub, data sensitif dari kira-kira 190,000 akaun (kurang dari 5% pengguna Hub) mungkin terdedah.
Data tersebut merangkumi nama pengguna dan kata laluan yang dicincang dari sebilangan kecil pengguna ini, serta token Github dan Bitbucket untuk pembuatan Docker automatik.
Tindakan yang perlu diambil:
Kami meminta pengguna menukar kata laluan mereka di Docker Hub dan mana-mana akaun lain yang berkongsi kata laluan ini.
Untuk pengguna dengan pelayan automatik yang mungkin terjejas, kami telah menarik balik token dan kunci akses GitHub dan anda diminta menyambung semula ke repositori anda dan memeriksa log keselamatan untuk melihat apakah ada tindakan. Kejadian yang tidak dijangka berlaku.
Anda boleh menyemak tindakan keselamatan di akaun GitHub atau BitBucket anda untuk melihat apakah terdapat akses yang tidak dijangka dalam 24 jam terakhir.
Ini mungkin mempengaruhi pembinaan semasa anda dari perkhidmatan pembuatan automatik kami. Anda mungkin perlu memutuskan sambungan dan menyambung semula penyedia sumber Github dan Bitbucket anda seperti dijelaskan dalam pautan berikut.