La vulnerabilidad descubierta en Alpine, indica que 1 de cada 5 de los Docker más usados, no cuenta con contraseña de root.
Desde que Docker viera la luz, allá por 2013, se ha convertido en una herramienta muy usada por desarrolladores, debido principalmente a la facilidad de despliegue de aplicaciones y sistemas, su flexibilidad y portabilidad. Esto ha provocado que investigadores de seguridad pongan su mira sobre Docker, como el investigador Jerry Gamblin, quien ha hecho público que casi 200 contenedores de los más populares de Docker Hub no tienen asociada ninguna contraseña al usuario root, aumentando drásticamente la posibilidad de sufrir un acceso no autorizado bajo ciertas condiciones. Microsoft, Tesla, Kylemanna/OpenVPN, Monsanto o incluso el gobierno del Reino Unido son algunos de los incluidos en la lista de afectados, varios de ellos superando los 10 millones de descargas.
Esta investigación surgió de una reciente vulnerabilidad que Talos, la división de seguridad de Cisco, publicó asociada a la imagen de Docker de la distribución Alpine Linux (CVE-2019-5021). Esta vulnerabilidad permitía la escalada de privilegios, siempre que se use Linux PAM u otro mecanismo de autenticación que utilice como base de datos el archivo Shadow y el usuario root esté con la contraseña en blanco. Esta combinación nos puede llevar a la posibilidad de elevar los privilegios dentro del contenedor a root, cuando lo ideal en estos casos es que el acceso o autenticación como root esté deshabilitado.
El investigador ha publicado un listado con los 194 Docker sin contraseña y el total de 1000 analizados.
Desde A2SECURE queremos recordar que permitir la autenticación como root en contenedores supone un riesgo crítico de seguridad. Al margen de las implicaciones evidentes, con el auge de Docker se están generalizando campañas de cryptojacking contra los contenedores, convirtiéndose en un objetivo de interés para los ciberdelincuentes para apropiarse de su capacidad computacional.
¡Hasta la próxima entrada y no olvidéis deshabilitar root! 😉
Autor: Miguel Carrillo