Поделиться
Тысячи образов в Docker Hub «протекают» секретными данными
Тысячи образов в Docker Hub выдают данные, которые должны быть закрыты от чужих глаз, указывают исследователи. В большинстве случаев ошибки с конфиденциальностью допускают работники малых и средних компаний, занятых разработкой ПО
Тысячи их
Более чем в 10 тысячах образов в Docker Hub доступны данные, которые должны быть засекречены, в том числе - реквизиты доступа к системам активной разработки, базы данных CI/CD и ключи к LLM-моделям. Таковы результаты исследования, проведённого специалистами ИБ-компании Flare.
Docker Hub - это облачный репозиторий для Docker-образов, где разработчики могут хранить, находить, обмениваться и распространять готовые образы контейнеризированных приложений, библиотек и инструментов. Этот ресурс также выполняет роль централизованного реестра для Docker.
Под «образом» понимается исполняемый набор программ, который включает в себя код основного контейнезированного приложения, окружение, системные инструменты, библиотеки и настройки.
Разработчики активно используют образы Docker для оптимизации процесса разработки и развёртывания ПО.
Однако, как и прошлые исследования, нынешнее показывает, что при создании этих образов нередко допускаются серьёзные ошибки, которые открывают всем желающим доступ к секретным данным, причём актуальность последних может сохраняться на протяжении длительного периода времени.
Токены без секретов
Изучив доступные по состоянию на ноябрь этого года образы в Docker Hub, исследователи Flare обнаружили, что в 10456 из них один или несколько секретных ключей лежат на виду.
Чаще всего - это токены доступа к различным ИИ-моделям - OpenAI, HuggingFace, Anthropic, Gemini, Groq. В уязвимых образах нашлось четыре тысячи таких ключей.
В 42% случаев количество раскрываемых токенов составляло от пяти и более на каждый образ, в том числе - ключи доступа к облачным ресурсам, репозиториям Git, CI/CD-системам, платёжным интеграциям и другим инфраструктурным компонентам критической значимости.
Изучив 205 пространств имён, исследоватли идентифицировали 101 компанию, которым принадлежат уязвимые образы. В основном это малый и средний бизнес, однако встречаются и несколько крупных корпораций.
Чаще всего встречаются компании, специализирующиеся на разработке ПО, за ними следуют маркетинговые, промышленные предприятия, а также разработчики технологий ИИ и интеллектуальных систем. Более десятка компаний относятся к финансовому и банковскому сектору.
Одной из самых распространённых ошибок является использование файлов .ENV для хранения реквизитов доступа к базам данных, облачным ресурсам, токенов и прочих аутентификационных данных к проекту.
Кроме того, исследователи обнаружили токены API, встроенные в код приложений на Python, а также конфиденциальные данные в файлах config.json, файлах настроек YAML; токены GitHub и реквизиты доступа к внутренним средам.
В некоторых случаях секретные данные присутствовали прямо в декларационных файлах Docker - файлах, где содержится описание содержимого образа.
Источником многих утечек, как выяснили эксперты, являются «теневые» ИТ-аккаунты, которые принадлежат индивидуальным разработчикам или подрядчикам, и на которые не распространяются корпоративные механизмы мониторинга и защиты.
В публикации Flare упоминается, что в 25% случаев разработчики, по ошибке сделавшие доступными закрытые данные, исправляли ошибку в течение 48 часов. В остальных случаях этого не происходило.
«Каждый удобный и популярный инструмент требует - в любых сферах - профессионального отношения и применения, - отмечает Александр Зонов, эксперт по информационной безопасности компании SEQ. - Ошибки, связанные с раскрытием конфиденциальных данных, чаще всего являются следствием авральных условий, когда для разработчика соображения скорости оказываются важнее соблюдения нормативов по безопасности. Следствием же может стать «эффект бабочки», когда один неправильно сохранённый ключ может стать уязвимостью, наследуемой большим количеством различных программных пакетов».
Flare рекомендует разработчикам избегать хранения секретов в образах контейнеров в принципе, а также по возможности отказаться от использования статических, долгосрочных учетных данных и централизовать управление секретами с помощью выделенного хранилища или менеджера секретов.
Организациям следует внедрять активное сканирование на протяжении всего жизненного цикла разработки программного обеспечения, немедленно отзывать раскрытые секреты и аннулировать старые сессии.
Короткая ссылка
