上千個(gè)Docker hub鏡像泄露認(rèn)證密鑰和私鑰。

Docker Hub 是Docker社區(qū)的基于云的倉(cāng)庫(kù)，用于保存、分享和分發(fā)Docker鏡像。這些容器創(chuàng)建的模板中包含在Docker中部署應(yīng)用所有必要的軟件代碼、運(yùn)行狀態(tài)、庫(kù)和環(huán)境變量、配置文件。

鏡像密鑰泄露

近日，德國(guó)亞琛工業(yè)大學(xué)(RWTH-Aachen University)研究人員發(fā)現(xiàn)上千個(gè)Docker Hub上的鏡像暴露了機(jī)密密鑰、軟件、在線平臺(tái)和用戶(hù)。研究人員分析了Docker Hub中337171個(gè)鏡像，聚集了1647300層的數(shù)據(jù)集，發(fā)現(xiàn)有8.5%的鏡像（28621個(gè)Docker鏡像）中包含敏感數(shù)據(jù)，包括52107個(gè)有效的私有密鑰、3158個(gè)不同API秘密信息。

注：以上數(shù)據(jù)不包括測(cè)試密鑰、示例API秘密和無(wú)效的匹配

圖 暴露的密鑰信息

上千個(gè)Docker hub鏡像泄露認(rèn)證密鑰和私鑰

暴露的密鑰中95%是私鑰，90%是API秘密，表明這可能是無(wú)意間泄露的。

上千個(gè)Docker hub鏡像泄露認(rèn)證密鑰和私鑰

受影響最大的是Docker Hub，秘密暴露的是9.0%，來(lái)自私有注冊(cè)的進(jìn)行暴露了6.3%的秘密。這一差異表明Docker hub用戶(hù)對(duì)容器安全的理解不如搭建私有倉(cāng)庫(kù)的用戶(hù)。

泄露密鑰的使用

然后，研究人員利用泄露的密鑰可以進(jìn)行下一步攻擊活動(dòng)。研究人員根據(jù)暴露的私鑰發(fā)現(xiàn)了22082個(gè)被入侵的證書(shū)，其中包括7546個(gè)私有CA簽發(fā)的證書(shū)和1060個(gè)公有CA簽發(fā)的證書(shū)。而這些CA簽發(fā)的證書(shū)被大量用戶(hù)使用，并且被廣泛接受。截止論文發(fā)布，仍有141個(gè)CA簽名的證書(shū)狀態(tài)是有效的。

為進(jìn)一步確定暴露的密鑰的影響，研究人員通過(guò)Censys數(shù)據(jù)庫(kù)分析發(fā)現(xiàn)有275269個(gè)主機(jī)使用這些被入侵的密鑰。包括：

可能傳輸隱私敏感物聯(lián)網(wǎng)數(shù)據(jù)的8,674 MQTT和 19 AMQP主機(jī)；

保存機(jī)密數(shù)據(jù)的6,672 FTP、426 PostgreSQL、3 Elasticsearch,和3 MySQL實(shí)例；

216臺(tái)用戶(hù)電信服務(wù)的SIP主機(jī)；

用于郵件服務(wù)的8,165 SMTP、1,516 POP3、1,798 IMAP服務(wù)器；

240 SSH服務(wù)器和24 Kubernetes實(shí)例，使用泄露的密鑰可以引發(fā)遠(yuǎn)程shell訪問(wèn)、僵尸網(wǎng)絡(luò)擴(kuò)張、以及進(jìn)一步數(shù)據(jù)訪問(wèn)。

上千個(gè)Docker hub鏡像泄露認(rèn)證密鑰和私鑰

對(duì)于API的暴露，研究發(fā)現(xiàn)大多數(shù)的容器(2,920個(gè))屬于亞馬遜AWS這類(lèi)云服務(wù)器提供商，其中部分屬于Stripe這樣的金融服務(wù)。

考慮到白帽倫理，研究人員未對(duì)服務(wù)終端驗(yàn)證暴露的API秘密，因此其對(duì)服務(wù)終端的影響尚不明確。

本文翻譯自：https://www.bleepingcomputer.com/news/security/thousands-of-images-on-docker-hub-leak-auth-secrets-private-keys/