來自德國亞琛工業大學(RWTH Aachen University)的4名研究人員在近日發布的論文中指出,他們分析了來自公共倉庫Docker Hub及其它8,076個私有Docker倉庫的337,171個映像檔,發現當中的28,621個映像檔含有秘密,包括私鑰、API秘密與其它敏感資訊等,占所分析總數的8.5%。其中,Docker Hub映像檔外洩秘密的比例為9.0%,私有倉庫則是6.3%。
研究人員自這些倉庫中總計發現了52,107個私鑰及3,158個外洩的API秘密,同時它們也帶來了真正的安全威脅。
調查顯示,在外洩的3,158個不同API秘密中,有2,920個隸屬於雲端服務供應商,包括AWS API(1,213個秘密)、Alibaba API(177個秘密),還有超過200個API秘密涉及社交網站,另有25個秘密與Stripe API有關。這些API秘密或許是身分認證憑證,或許是存取權杖,將允許駭客假冒使用者身分、任意操縱資料、濫用服務、執行憑證填充攻擊,或者是注入惡意程式等。
在外洩的私鑰中,由通用憑證管理中心所發行的1,060個憑證便仰賴其中的某些私鑰,另有超過27萬臺的主機正在使用這些外洩私鑰,以於TLS及SSH協定環境中進行身分認證。
值得注意的是,有許多私鑰是在建立容器映像檔的程序中,因為安裝封包而自動產生的。由於容器映像檔既可攜,又能於不同的環境中分享,使得同樣的金鑰也會被複製到不同的容器中,倘若駭客於其中一個容器取得金鑰,便有機會危害所有使用同樣金鑰的容器。
除了自動產生的私鑰之外,部分缺乏危機意識的使用者是故意將秘密置放於映像檔中,亦有些第三方封包預設即含有秘密,則很容易被使用者忽略。此外,有些私有倉庫的映像檔含有敏感軟體,還有些私有倉庫沒有限制寫入權限。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29