Wissenschaftler der Rheinisch-Westfälischen Technischen Hochschule Aachen (RWTH) haben Zehntausende auf Docker Hub gehostete Container-Images untersucht. Sie hatten sich die Frage gestellt, wie viele der dort abgelegten Images sensible Informationen enthalten, die im Falle eines Datenlecks zur ernsthaften Cyber-Bedrohung werden können. Die Ergebnisse der nun veröffentlichten Studie zeigen, dass Cyber-Kriminelle vertrauliche Informationen abgreifen können, die Nutzer, ihre Software und ihre Online-Plattformen einem hohen Risiko aussetzen.
Der beliebte Cloud-Dienst Docker Hub stellt Nutzern ein Verzeichnis und Speicherplatz für ihre Docker-Images bereit. Das Verzeichnis macht bereits fertige Container-Images mit den unterschiedlichsten Applikationen wie Webservern, Datenbanken, usw. verfügbar. Insbesondere in Bereichen wie der Logistik werden Docker-Container als Möglichkeit genutzt, mit hoher Leistungsfähigkeit und Schnelligkeit die unterschiedlichsten Web- und Offline-Anwendungen zu betreiben. Denn der wesentliche Vorteil der Container ist, dass beim Hochfahren eines neuen Containers nicht ein komplettes Virtual-Machine-Image mit mehreren GB geladen wreden muss, sondern bereits mit abgespeckten Distributionen mit wenigen MB gestartet und gearbeitet werden kann. Und die Container können zudem sowohl lokal gemanaged werden, als auch komplett in der Cloud betrieben werden.
Das Open-Source-Repository für Container-Images von Docker Hub wird häufig im Developer-Zyklus verwendet, es hat jedoch schon in der Vergangenheit Vorfälle gegeben, in denen Forscher in Docker-Images problematische Inhalte gefunden haben. So entdeckte beispielsweise der Anbieter von Cyber-Sicherheitslösungen für Cloud-Plattformen Aqua Security schon vor zwei Jahren eine Infrastruktur von mehr als zwanzig Container-Images, die in Docker Hub gespeichert waren und potenziell unerwünschte Anwendungen (Potentially Unwanted Applications oder PUA) enthielten. Die Warnung der Forscher vor Malware, die in Image-Schichten versteckt sein kann oder während der Laufzeit auf die instanziierten Container heruntergeladen wird, ließ damals Cyber-Security-Experten in aller Welt aufhorchen.
Bei den aktuellen Untersuchungen haben die Forscher der RWTH Aachen nun mehr als 20.000 kompromittierte TLS-Zertifikate gefunden, die auf offengelegten privaten Schlüsseln beruhen. Darunter befanden sich auch annähernd 8.000 private und mehr als 1.000 öffentliche Zertifikate, die allesamt durch eine Zertifizierungsstelle (bzw. die Certificate Authorities oder CA) signiert waren. Diese große Anzahl von Zertifikaten mit Beglaubigung durch eine Zertifizierungsstelle halten Experten dabei für besonders gefährlich, da sie in der Regel von einer großen Anzahl von Benutzern verwendet werden. Zum Zeitpunkt der Veröffentlichung waren nach Angaben der Aachener Wissenschaftler noch 141 dieser signierten Zertifikate gültig.
Der unbefugte Zugriff auf sensible Unternehmensdaten und Nutzer-Schlüssel kann enorme Konsequenzen haben. Können Cyber-Kriminelle sie kompromittieren, kann dies zur Preisgabe von Kundendaten, zu potenziellen Manipulationen und zu Denial-of-Service-Angriffen führen. Kompromittierte Images können potenziell direkten Zugang zu kritischen Diensten und Maschinenidentitäten bieten, die für die Kommunikation zwischen Workloads, Services, physischen Servern usw. verwendet werden. Anwendungen, die Cyber-Kriminellen dann offenstehen, können von IoT, Datenbanken, SIP, E-Mail, SSH bis zu Kubernetes-Clustern reichen. „Um zu verhindern, dass diese Images kompromittiert werden“, rät Sitaram Iyer vom US-amerikanischen Anbieter von Cyber-Sicherheitssoftware Venafi, „sollten Unternehmen prüfen, ob sie Maschinenidentitäten in Workloads einfügen können, und zwar genau dann, wenn der Workload sie benötigt.“ So einfach und schnell wie Images gestartet werden können, lassen sie sich auch wieder löschen – genau das scheint jedoch vernachlässigt zu werden. „Wenn ein Workload gelöscht wird, wird auch das gesamte Schlüsselmaterial gelöscht“, erläutert der Venafi Senior Director of Cloud Native Solutions Iyer. Außerdem können Unternehmen jedes Container-Image mit einer digitalen Signatur versehen, sodass dessen Authentizität und Integrität gewährleistet ist, empfiehlt der Sicherheitsexperte aus Salt Lake City.