Sommario
Le immagini Docker sono uno dei metodi più comuni utilizzati nella containerizzazione, un metodo che permette agli sviluppatori di raggruppare la loro applicazione insieme a tutti i file di configurazione correlati, le librerie e le dipendenze necessarie per funzionare in contenitori ospitati nel cloud. Docker Hub è un repository basato su cloud che facilita l’uso e la condivisione diffusa di immagini Docker. Tuttavia, uno studio recente ha rivelato che numerose immagini Docker condivise su Docker Hub stanno esponendo dati sensibili.
Lo studio sulle immagini Docker
I ricercatori hanno analizzato 337.171 immagini da Docker Hub e 8.076 registri privati e hanno scoperto che più di 1 su 12 di queste immagini conteneva informazioni sensibili, tra cui chiavi private e segreti API. Per essere precisi, hanno trovato 52.107 chiavi private e 3.158 segreti API trapelati. Questo non è solo un enorme rischio per la sicurezza, i ricercatori hanno documentato che le chiavi trapelate sono state effettivamente utilizzate in natura.
Le chiavi esposte sono in uso
I ricercatori hanno scoperto che alcune delle chiavi esposte erano in uso, il che significa che elementi come i certificati erano anche a rischio. Infatti, sono stati trovati più di 22.000 certificati compromessi che si basavano sulle chiavi private esposte. Ciò include più di 7.500 certificati privati e più di 1.000 certificati firmati dall’autorità di certificazione (CA) pubblica.
La maggior parte dei segreti sono in immagini di singoli proprietari
La maggior parte dei segreti sono stati trovati in immagini di singoli proprietari, il che ha senso supponendo che gli utenti non condividano intenzionalmente i loro segreti. I ricercatori hanno anche scoperto che i creatori di immagini caricano segreti su Docker Hub più spesso che nei registri privati (9% vs 6,3%). Questo potrebbe essere un’indicazione che gli utenti dei registri privati hanno una migliore comprensione della sicurezza, forse a causa di una più profonda comprensione tecnica necessaria per ospitare un registro.
Mitigazione
I segreti possono essere copiati attivamente, quando si copiano i segreti dal loro file system locale nell’immagine, o passivamente, utilizzando immagini con segreti inclusi durante la creazione dell’immagine. Entrambi i comportamenti portano a segreti compromessi e influenzano la sicurezza sia dei creatori di immagini che degli utenti, ma necessitano di un approccio diverso per la mitigazione. Gli strumenti come TruffleHog o SecretScanner potrebbero quindi esaminare tutti gli strati dell’immagine per i segreti inclusi.
Quando i creatori di immagini non sono consapevoli o non si preoccupano di condividere segreti, si crea un enorme superficie di attacco. Questi segreti esposti rappresentano un problema massiccio. Con l’adozione di misure di mitigazione appropriate, è possibile proteggere i dati sensibili e mantenere la sicurezza delle applicazioni.
