Vulnerabilități

Imaginiile de Docker cu Alpine Linux au fost livrate timp de 3 ani cu contul de root fără parolă

Distribuțiile de Alpine Linux ce erau livrate în Docker prin intermediul Docker Hub-ului, au conținut o vulnerabilitate ce le permitea hackerilor să se logheze pe mediile respective folosind doar parola de root fără nici o parolă.

iONUȚ

2 min read
Imaginiile de Docker cu Alpine Linux au fost livrate timp de 3 ani cu contul de root fără parolă

Distribuțiile de Alpine Linux ce erau livrate prin intermediul Docker Hub-ului, au conținut o vulnerabilitate ce le permitea hackerilor să se logheze pe mediile respective folosind doar userul de root fără nici o parolă.

Această vulnerabilitate este prezentă de 3 ani de zile în Docker Hub iar distribuțiile afectate sunt următoarele: 3.3, 3.4, 3.5, 3.6, 3.7, 3.8 și 3.9.

Conform celor de la Cisco Talos, cercetătorii ce au descoperit această vulnerabilitate, au testat fiecare versiune în parte și au scris totul într-un articol oficial ce poate fi citit pe link-ul acesta. Imaginile afectate de Alpine Linux au fost disponibile pe Docker Hub înca din anul 2015.

Această vulnerabilitate este rezultatul unei regresii introduse în Decembrie 2015. Sistemele afectate sunt cele care folosesc Linux PAM sau alte mecanisme ce utilizează fișierul shadow al sistemului Linux pe post de bază de date de autentificare, iar acestea acceptă o parolă nulă pentru userul root.

Vulnerabilitatea a primit o notă CVSS de 9.8 iar aceasta a fost documentată în CVE-2019-5021.

Vulnerabilitatea datează din 2015, când a fost identificată și soluționată, dar la câteva săpămâni de la rezolvare, teste suplimentare ale vulnerabilități au creat o regresie. Aceste teste au dezactivat "flag-ul" ce anula userul root implicit, reintroducând vulnerabilitatea în producție.

Echipa Cisco Talos a dezvăluit public cercetarea lor în ziua de Miercuri (8 mai 2019), dar au raportat-o în mod privat în Februarie. De asemenea, aceștia au descoperit că această problemă a fost raportată și în mod public pe Github cu ceva timp înainte de realizarea raportului lor, dar nu a fost confirmată ca fiind o vulnerabilitate de securitate. În acest mod această vulnerabilitate a existat "sub radar" până când a fost raportată de cei de la Cisco.

Vulnerabilitatea a fost descoperită de Peter Adkins de la Cisco Umbrella.

Mitigarea problemei constă în dezactivarea imaginilor de docker ce folosesc una din versiunile enumerate mai sus.

Dacă ați fost afectați de această vulnerabilitate descoperită în Docker pentru Alpine Linux, vă aștept să vă împărtășiți experiențele pe pagina de Facebook.