Stando a quanto scoperto e documentato dai ricercatori dell’istituto tedesco RWTH Aachen University di Aquisgrana, l’8,5% circa delle 337.171 immagini container ospitate nel cloud del repository Docker Hub include un volume importante di dati sensibili, finendo per esporli. Tra questi, anche chiavi private e segreti confidenziali.
Un problema di sicurezza per Docker Hub
Ne conseguono potenziali gravi rischi in termini di sicurezza, a partire dalla compromissione di migliaia di certificati e delle piattaforme o dei servizi che ne fanno uso. Sono oltre 275.000 in totale gli host coinvolti, includendo MQTT (Message Queuing Telemetry Transport), AMQP (Advanced Message Queuing Protocol) server email SMTP e IMAP, istanze FTP, PostgreSQL, Elasticsearch, MySQL, server SSH e istanze Kubernetes.
La maggior parte delle informazioni esposte, più precisamente il 95% delle chiavi private e il 90% delle Secret API, risiede all’interno di immagini riconducibili a un singolo utente.
L’impatto più grande è su Docker Hub, con una percentuale di segreti esposti pari al 9% … potrebbe indicare che gli utenti di Docker Hub hanno solitamente una più scarsa comprensione relativa alla sicurezza dei container rispetto a coloro che configurano repository privati.
Un’analisi approfondita condotta dai ricercatori ha permesso di scoprire che 141 dei certificati CA (firmati da una Certificate Authority) interessati risultavano ancora validi nel giorno della pubblicazione.
Secondo la testata BleepingComputer, che per prima ha ripreso la notizia, un tale livello di esposizione mette in luce un enorme problema nella sicurezza dei container, da attribuire in particolare alla mancanza di attenzione riservata al processo di creazione delle immagini, che non risultano adeguatamente ripulite dei segreti contenuti.
Infine, in relazione alle API, la maggior parte dei container è riconducibile a provider dell’ambito cloud, AWS (Amazon Web Services) su tutti. Alcuni appartengono invece a player del settore finanziario e fintech come Stripe. Maggiori informazioni sono consultabili nel documento (PDF) pubblicato nei giorni scorsi dalla RWTH Aachen University.