Según un estudio realizado por investigadores de la Universidad RWTH Aachen en Alemania, un número significativo de imágenes de contenedores alojadas en Docker Hub, un repositorio basado en la nube para imágenes de Docker, contiene secretos confidenciales. El estudio analizó 337,171 imágenes de Docker Hub y registros privados, y aproximadamente el 8.5% de estas imágenes se encontraron que contienen datos sensibles, incluyendo claves privadas y secretos de API.
Los investigadores recopilaron un gran conjunto de datos que comprende 1,647,300 capas de 337,171 imágenes de Docker, y utilizaron expresiones regulares para buscar secretos específicos. Descubrieron 52,107 claves privadas válidas y 3,158 secretos de API distintos en 28,621 imágenes de Docker. La mayoría de los secretos expuestos se encontraron en imágenes de un solo usuario, lo que indica que probablemente se filtraron involuntariamente.
El estudio también reveló que la tasa de exposición de secretos fue mayor en Docker Hub (9.0%) en comparación con los registros privados (6.3%), lo que sugiere que los usuarios de Docker Hub pueden tener un menor conocimiento de la seguridad de los contenedores. Los investigadores también investigaron el uso de los secretos expuestos y encontraron 22,082 certificados comprometidos que dependían de las claves privadas expuestas, incluyendo 7,546 certificados privados firmados por una autoridad de certificación (CA) y 1,060 certificados públicos firmados por una CA. Esto representa un riesgo significativo ya que los certificados firmados por CA se utilizan y aceptan ampliamente.
Para evaluar el uso de los secretos expuestos en la realidad, los investigadores analizaron mediciones a nivel de Internet proporcionadas por la base de datos de Censys. Identificaron 275,269 hosts que dependían de las claves comprometidas, incluyendo hosts MQTT y AMQP que transferían datos sensibles de IoT, instancias de FTP, PostgreSQL, Elasticsearch y MySQL que servían datos potencialmente confidenciales, hosts SIP utilizados para telefonía, servidores SMTP, POP3 e IMAP utilizados para correo electrónico, servidores SSH e instancias de Kubernetes que utilizaban claves filtradas, lo que podría llevar a acceso remoto no autorizado, expansión de botnets o acceso no autorizado a datos.
Los hallazgos de este estudio resaltan un problema significativo en la seguridad de los contenedores y destacan la necesidad de mejores prácticas al crear y sanitizar imágenes de contenedores. Los investigadores también señalaron que si bien muchos secretos de API expuestos pertenecían a proveedores de nube como Amazon AWS, no fue posible determinar su uso en la realidad debido a limitaciones éticas al validarlos con puntos finales de servicio.
コメント