Docker Hub: Fehlkonfiguration kann Container angreifbar machen

Viele Container-Images im offiziellen Repository Docker Hub haben einen aktiven Root-Account ohne Passwort. Entwickler sollten sicherheitshalber nachbessern.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
Docker Hub: Fehlkonfiguration kann Container angreifbar machen

(Bild: pixabay)

Lesezeit: 2 Min.

Fast 20 Prozent der Top-1000-Docker-Container im offiziellen Docker-Container-Image-Repository Docker Hub weisen aktive Root-Accounts ohne Passwort auf. Zu dieser Erkenntnis kam Sicherheitsforscher Jerry Gamblin, indem er ein selbstgeschriebenes Skript auf Docker Hubs Top 1000 ansetzte. Anschließend warf er jeweils einen Blick in die Datei /etc/shadow und fand in 194 Fällen den verräterischen Eintrag "root:::0:::::".

Die daraus resultierende Liste verwundbarer Container-Images hat Gamblin bei GitHub veröffentlicht. Das beliebteste Image auf der Liste (kylemanna/openvpn) wurde bislang mehr als 10 Millionen Mal heruntergeladen. Überdies enthält die Liste so bekannte Namen wie Cisco, Microsoft oder Monsanto.

Auf die Idee, bei Docker Hub nach Null-Passwörtern zu suchen, kam Gamblin, nachdem er sich mit einer kritischen Sicherheitslücke in Docker-Images von Alpine Linux befasst hatte, über die Cisco Talos Anfang Mai berichtete. Sie trug die Kennung CVE-2019-5021 und betraf alle Alpine-Linux-Docker-Images ab einschließlich Version 3.3 (bis zu den gefixten Builds 3.9.2, 3.8.4, 3.7.3, 3.6.5 und "edge"-Snapshot 20190228). In besagten Docker-Images wies /etc/shadow einfach ein leeres Feld anstelle des verschlüsselten Passworts auf.

In seinem Blog betont Gamblin – ebenso wie es die Forscher von Cisco Talos bereits in Bezug auf die Alpine-Linux-Images taten –, dass ein aktiver Root-Account ohne Passwort einen Container nicht unbedingt angreifbar mache. Es bestehe nur in Umgebungen eine Gefahr, in denen /etc/shadow zur Authentifizierung genutzt werde (beispielsweise durch die Authentifizierungsbibliothek PAM). Überdies müsste ein Angreifer überhaupt erstmal geeigneten Zugriff auf den laufenden Container haben, um das leere Kennwort ausnutzen zu können.

Trotz dieser Einschränkung sollten Entwickler umgehend einen Blick auf die veröffentlichte Liste werfen und bei der Container-Konfiguration nachbessern. Gamblin rät im Blogeintrag dazu, die Bereitstellung von Containern, welche Nutzern die Anmeldung als root erlauben, aus Sicherheitsgründen "um jeden Preis" zu vermeiden. (ovw)