La quinta parte de los contenedores Docker no tiene contraseñas de root

  • Seguridad Inteligente

Una quinta parte de los contenedores Docker más populares del mundo contiene un problema de seguridad que podría hacerlos vulnerables a los ataques en algunas circunstancias, según descubrió un investigador.

El ingeniero de seguridad Jerry Gamblin explicó que después de que una investigación reciente revelara que las imágenes de la ventana acoplable de Alpine Linux se enviaban sin contraseñas de root (anuladas), decidió profundizar un poco más.

Al ejecutar un script en los 1000 contenedores más populares en la tienda Docker, encontró que 194 (19.4%) también tenía contraseñas de root anuladas.

"Los hallazgos son interesantes, pero no quiero ser demasiado alarmista. El hecho de que un contenedor no tenga una contraseña de root no significa que sea automáticamente vulnerable", explicó. "Estos hallazgos podrían conducir a vulnerabilidades basadas en la configuración en ciertas situaciones, como fue el caso con esta vulnerabilidad de Alpine Linux".

Específicamente, solo los contenedores que usan módulos de autenticación conectables de Linux (PAM) o "algún otro mecanismo que usa el archivo de la sombra del sistema como una base de datos de autenticación" son vulnerables a la explotación.

El contenedor más popular en la lista afectada por el problema fue kylemanna / openvpn: una unidad de software que se ha utilizado más de 10 millones de veces, según Gamblin. Otros nombres en la lista incluyen govuk / governmentpaas, hashicorp, microsoft, monsanto y mesosphere.

En el caso de Alpine Linux, los contenedores expuestos podrían descubrir que están en riesgo de vulnerabilidad de imagen de Docker (CVE-2019-5021), por lo que un atacante puede elevar sus privilegios a root dentro del contenedor.

"La implementación de contenedores que permiten a los usuarios autenticarse como root debe evitarse a toda costa, porque la autentificación como root ya está fuera del alcance de las" mejores prácticas "para contenedores seguros o generalmente en el sistema", argumentó Gamblin.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.