IT-Forscher von Flare haben Images auf Docker Hub untersucht, ob darin geheime Zugangsdaten enthalten und extrahierbar sind. Sie konnten aus mehr als 10.000 Images solcher Secrets auslesen.
In einer Analyse geben die IT-Sicherheitsforscher einen Überblick und geben Hinweise, wie sich Organisationen besser vor solchem unbeabsichtigtem Datenabfluss schützen können. Die IT-Analysten haben untersucht, wem die Zugangsdaten gehören, auf welche Umgebungen sie Zugriff ermöglichen und wie groß die potenziellen Auswirkungen auf betroffene Einrichtungen und deren Umfeld sind.
Viele tausend Docker-Images mit Zugangsinformationen
Der Docker Hub ist eine zentrale Stelle in der Cloud zur Registrierung, Ablage und zum Teilen von Images. Diese können öffentlich oder privat sein und lassen sich etwa zur automatisierten Bereitstellung von Software nutzen. Nach einem Monat sind die Flare-Mitarbeiter auf mehr als 10.000 Abbilder gestoßen, die Secrets geleakt haben – einschließlich Zugangsdaten zu Produktivsystemen. Davon betroffen sind mehr als 100 Organisationen, eine davon sogar in den Fortune-500 gelistet und eine große Bank. Vielen war der Datenabfluss gar nicht bewusst.
Ganze 42 Prozent der Images enthielten sogar fünf oder mehr Secrets, sodass mit ihnen in einem Rutsch Zugang zu ganzen Cloud-Umgebungen, Softwareverteilung und Datenbanken der Organisation möglich wurde. Den größten Anteil an den abgeflossenen Secrets hatten API-Keys zu KI-LLM-Modellen, alleine dafür kamen rund 4000 zusammen. Für die IT-Forscher ist das ein Hinweis, wie sehr die KI-Nutzung die Anpassung der Sicherheitskontrollen bereits überholt hat. Ein weiterer großer Posten entfällt auf sogenannte Schatten-IT-Zugänge – persönliche Zugangsdaten von Mitarbeitern oder Vertragspartnern. Die sind für unternehmensweite Monitoring-Systeme unsichtbar, erklären die Forscher.
Zwar hätten Entwickler oftmals abgeflossene Secrets aus Containern entfernt, jedoch haben etwa drei Viertel von ihnen die betroffenen Keys nicht zurückgezogen und erneuert, was die Organisationen für Monate oder Jahre exponiert lässt. Flare führt das zur Schlussfolgerung, dass Angreifer sich nicht in die Systeme reinhacken, sondern dort hinein authentifizieren. Als Beispiel dafür nennen die IT-Forscher den Shai-Hulud-2-Wurm, der sich im npm-Ökosystem ausbreitet. Die Analyse liefert Interessierten noch detailliertere Einblicke.
Eine Artikelreihe auf heise online widmet sich der Docker Image Security und gibt konkrete Hinweise, wie man etwa minimale, sichere Container-Images selbst baut. Da nicht nur in Docker-Images häufig vertrauliche Zugangsdaten enthalten sind, sondern auch allgemein in (öffentlichen) Repositories aus der Softwareentwicklung vielfach Credentials zu finden sind, gibt es sogar Tools, die beim Aufspüren von geleakten Secrets auf GitHub helfen.
(dmk)
English (US) ·