来自德国亚琛工业大学(RWTH Aachen University)的4名研究人员在近日发布的论文中指出,他们分析了来自公共仓库Docker Hub及其它8,076个私有Docker仓库的337,171个映像文件,发现当中的28,621个映像文件含有秘密,包括私钥、API秘密与其它敏感信息等,占所分析总数的8.5%。 其中,Docker Hub映像档外泄秘密的比例为9.0%,私有仓库则是6.3%。
研究人员自这些仓库中总计发现了52,107个私钥及3,158个外泄的API秘密,同时它们也带来了真正的安全威胁。
调查显示,在外泄的3,158个不同API秘密中,有2,920个隶属于云服务供应商,包括AWS API(1,213个秘密)、Alibaba API(177个秘密),还有超过200个API秘密涉及社交网站,另有25个秘密与Stripe API有关。 这些API秘密或许是身份认证凭证,或许是存取权杖,将允许黑客假冒用户身分、任意操纵资料、滥用服务、执行凭证填充攻击,或者是注入恶意程序等。
在外泄的私钥中,由通用凭证管理中心所发行的1,060个凭证便仰赖其中的某些私钥,另有超过27万台的主机正在使用这些外泄私钥,以于TLS及SSH协议环境中进行身分认证。
值得注意的是,有许多私钥是在建立容器映像文件的程序中,因为安装封包而自动产生的。 由于容器映像文件既可携,又能于不同的环境中分享,使得同样的密钥也会被复制到不同的容器中,倘若黑客于其中一个容器取得密钥,便有机会危害所有使用同样密钥的容器。
除了自动产生的私钥之外,部分缺乏危机意识的用户是故意将秘密定位于映像文件中,亦有些第三方封包预设即含有秘密,则很容易被用户忽略。 此外,有些私有仓库的映像文件含有敏感软件,还有些私有仓库没有限制写入权限。
