Sicherheitsexperte
26.05.2019, 14:08 Uhr
Jedes 5. Image im Docker Hub hat Passwort-Probleme
Der Einsatz fremder Container gilt schon länger als Sicherheitsrisiko. Nun haben sich die Befürchtungen wieder einmal bestätigt. Fast 20 Prozent der Images im Docker Hub sollen einen ungeschützten Root-Account enthalten.
Sicherheit: Die Container-Lösung Docker hat die IT-Welt im Sturm genommen. In einem Container läuft eine einzelne Anwendung inklusive aller Ressourcen, die sie benötigt. Das vereinfacht die IT enorm. Einerseits ist es möglich, selbst eigene Container zu erstellen und zu nutzen. Andererseits bieten Webseiten wie der Docker Hub die Möglichkeit, von anderen erstellte, bereits fertige und vorkonfigurierte Container herunterzuladen und sofort einzusetzen.
Viele unsichere Container
Diese Einfachheit hat aber ihre Tücken. So gab es in der Vergangenheit immer wieder Fälle, in denen versteckter Schadcode in beliebten Containern enthalten war. Anfang Mai meldete etwa die Sicherheitsabteilung Talos von Cisco, dass offizielle Alpine-Linux-Container einen Root-Zugang enthielten, der ohne Passwort genutzt werden konnte. Die Meldung hatte daraufhin den Sicherheitsexperten Jerry Gamblin von Kenna Security ermuntert, selbst auf die Suche nach weiteren Containern zu gehen, die ebenfalls einen nicht deaktivierten Root-Account ohne Passwort haben.
Das Ergebnis ist erschreckend. Mit einem selbst entwickelten Skript prüfte Gamblin die 1.000 am häufigsten vom Docker Hub heruntergeladenen Container. Rund 194 dieser Images, also fast jedes Fünfte, enthalten einen ungeschützten Root-Account. Einer dieser betroffenen Container basiert zum Beispiel auf der freien VPN-Lösung OpenVPN. Er soll laut Gamblin mehr als 10 Millionen Mal heruntergeladen worden sein.
Gleichzeitig betonte der Experte jedoch auch, dass die Lücke zwar gravierend, aber nicht in jedem Fall bedrohlich sein müsse. Wie gefährlich sie sei, hänge von den jeweiligen Umständen ab. Bestürzend sei jedoch, was sie über den Umgang von Entwicklern mit Containern aussage. Auf keinen Fall sollten sie aus Sicherheitsgründen Container einsetzen, die es den Nutzern erlauben, sich als Root anzumelden.
Gamblin hat sowohl das Skript veröffentlicht, das er für seine Tests genutzt hat, als auch die komplette Liste aller von der Sicherheitslücke betroffenen Container.