上千個Docker hub鏡像泄露認證密鑰和私鑰。

Docker Hub 是Docker社區的基于云的倉庫，用于保存、分享和分發Docker鏡像。這些容器創建的模板中包含在Docker中部署應用所有必要的軟件代碼、運行狀態、庫和環境變量、配置文件。

鏡像密鑰泄露

近日，德國亞琛工業大學(RWTH-Aachen University)研究人員發現上千個Docker Hub上的鏡像暴露了機密密鑰、軟件、在線平臺和用戶。研究人員分析了Docker Hub中337171個鏡像，聚集了1647300層的數據集，發現有8.5%的鏡像（28621個Docker鏡像）中包含敏感數據，包括52107個有效的私有密鑰、3158個不同API秘密信息。

注：以上數據不包括測試密鑰、示例API秘密和無效的匹配

圖 暴露的密鑰信息

上千個Docker hub鏡像泄露認證密鑰和私鑰

暴露的密鑰中95%是私鑰，90%是API秘密，表明這可能是無意間泄露的。

上千個Docker hub鏡像泄露認證密鑰和私鑰

受影響最大的是Docker Hub，秘密暴露的是9.0%，來自私有注冊的進行暴露了6.3%的秘密。這一差異表明Docker hub用戶對容器安全的理解不如搭建私有倉庫的用戶。

泄露密鑰的使用

然后，研究人員利用泄露的密鑰可以進行下一步攻擊活動。研究人員根據暴露的私鑰發現了22082個被入侵的證書，其中包括7546個私有CA簽發的證書和1060個公有CA簽發的證書。而這些CA簽發的證書被大量用戶使用，并且被廣泛接受。截止論文發布，仍有141個CA簽名的證書狀態是有效的。

為進一步確定暴露的密鑰的影響，研究人員通過Censys數據庫分析發現有275269個主機使用這些被入侵的密鑰。包括：

可能傳輸隱私敏感物聯網數據的8,674 MQTT和 19 AMQP主機；

保存機密數據的6,672 FTP、426 PostgreSQL、3 Elasticsearch,和3 MySQL實例；

216臺用戶電信服務的SIP主機；

用于郵件服務的8,165 SMTP、1,516 POP3、1,798 IMAP服務器；

240 SSH服務器和24 Kubernetes實例，使用泄露的密鑰可以引發遠程shell訪問、僵尸網絡擴張、以及進一步數據訪問。

上千個Docker hub鏡像泄露認證密鑰和私鑰

對于API的暴露，研究發現大多數的容器(2,920個)屬于亞馬遜AWS這類云服務器提供商，其中部分屬于Stripe這樣的金融服務。

考慮到白帽倫理，研究人員未對服務終端驗證暴露的API秘密，因此其對服務終端的影響尚不明確。

本文翻譯自：https://www.bleepingcomputer.com/news/security/thousands-of-images-on-docker-hub-leak-auth-secrets-private-keys/