Des chercheurs de l’Université RWTH d’Aix-la-Chapelle en Allemagne ont publié une étude révélant que des dizaines de milliers d’images de conteneurs hébergées sur Docker Hub contiennent des secrets confidentiels, exposant les logiciels, les plateformes en ligne et les utilisateurs à une surface d’attaque massive.

Docker Hub est un référentiel basé sur le cloud permettant à la communauté Docker de stocker, partager et distribuer des images Docker. Ces modèles de création de conteneurs incluent tout le code logiciel, l’environnement d’exécution, les bibliothèques, les variables d’environnement et les fichiers de configuration nécessaires pour déployer facilement une application dans Docker.

Diagramme de création d’image Docker

Les chercheurs allemands ont analysé 337 171 images de Docker Hub et des milliers de registres privés et ont découvert qu’environ 8,5 % contiennent des données sensibles telles que des clés privées et des secrets d’API.

Le document montre en outre que bon nombre des clés exposées sont activement utilisées, compromettant la sécurité des éléments qui en dépendent, comme des centaines de certificats.

Exposer (par inadvertance) des secrets
L’étude a rassemblé un ensemble de données massif de 1 647 300 couches à partir de 337 171 images Docker, en se procurant les dernières versions d’images de chaque référentiel lorsque cela est possible.

L’analyse des données à l’aide d’expressions régulières pour rechercher des secrets spécifiques a révélé l’exposition de 52 107 clés privées valides et de 3 158 secrets d’API distincts dans 28 621 images Docker.

Les chiffres ci-dessus ont été validés par les chercheurs en excluant les clés de test, les exemples de secrets d’API et les correspondances invalides.

Découvertes secrètes finales

La plupart des secrets exposés, 95 % pour les clés privées et 90 % pour les secrets d’API, résidaient dans des images mono-utilisateur, ce qui indique qu’ils ont probablement été divulgués par inadvertance.

L’impact le plus élevé a été sur Docker Hub, qui avait un pourcentage d’exposition secrète de 9,0 %, tandis que les images provenant de registres privés ont exposé des secrets à un taux de 6,3 %.

Cette différence peut indiquer que les utilisateurs de Docker Hub ont généralement une moins bonne compréhension de la sécurité des conteneurs que ceux qui configurent des référentiels privés.

Utilisation de clés exposées
Ensuite, les chercheurs devaient déterminer l’utilisation réelle des secrets exposés pour apprécier la taille de la surface d’attaque.

De manière alarmante, 22 082 certificats compromis reposant sur les clés privées exposées ont été trouvés, dont 7 546 certificats signés par une autorité de certification privée et 1 060 certificats signés par une autorité de certification publique.

Les mille certificats signés par une autorité de certification sont particulièrement préoccupants, car ces certificats sont généralement utilisés par un grand nombre d’utilisateurs et sont universellement acceptés.

Au moment de l’étude, 141 certificats signés par une autorité de certification étaient encore valides, ce qui atténue quelque peu le risque.

Pour déterminer plus en détail l’utilisation des secrets exposés dans la nature, les chercheurs ont utilisé 15 mois de mesures à l’échelle d’Internet fournies par la base de données Censys et ont trouvé 275 269 hôtes qui s’appuient sur les clés compromises.

Ceux-ci inclus:

  • 8 674 hôtes MQTT et 19 hôtes AMQP qui transfèrent potentiellement des données sensibles à la vie privée de l’Internet des objets (IoT).
  • 6 672 instances FTP, 426 PostgreSQL, 3 Elasticsearch et 3 instances MySQL qui servent des données potentiellement confidentielles.
  • 216 hôtes SIP utilisés pour la téléphonie.
  • 8 165 serveurs SMTP, 1 516 POP3 et 1 798 serveurs IMAP utilisés pour le courrier électronique.
  • 240 serveurs SSH et 24 instances Kubernetes qui utilisent des clés divulguées pouvant conduire à un accès à distance au shell, à l’extension de botnets ou à un accès supplémentaire aux données.

Ce niveau d’exposition met en évidence un énorme problème de sécurité des conteneurs et une négligence dans la création d’images sans d’abord les assainir de leurs secrets.

En ce qui concerne l’exposition aux API, l’analyse a révélé que la plupart des conteneurs (2 920) appartiennent à des fournisseurs de cloud comme Amazon AWS, mais certains concernaient des services financiers tels que Stripe.

Cependant, les chercheurs ont cité des limites éthiques dans la validation des secrets d’API exposés par rapport à leurs points de terminaison de service, de sorte que leur utilisation dans la nature est inconnue.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *