Delicious Digg Facebook Favorites More Stumbleupon Twitter

Piratage de Docker Hub – Commentaire de CyberArk

Docker a récemment envoyé un email à ses clients pour les informer que les noms d’utilisateurs, mots de passe hachés et jetons d’authentification (ou tokens) de 190 000 comptes Docker Hub – service de dépôt d’images – ont été exposés le jeudi 25 avril dernier. Cela ne représente pas moins de 5 % des utilisateurs de Docker Hub.

Lavi Lazarovitz, Security Research Team Lead, chez CyberArk, estime que cette faille de sécurité pourrait conduire à une attaque sur la chaîne de développement, à cause de la compromission de tokens à privilèges.

 » La fonctionnalité de construction automatique (autobuild) est en effet utilisée pour intégrer du code source à Docker Hub ; chaque modification du code crée alors une nouvelle image utilisable par les développeurs et les équipes DevOps. Les jetons sont utilisés pour l’authentification et ne permettent généralement qu’un accès limité à la lecture du code et à ses métadonnées. Il est par conséquent impossible de modifier le code dans la plupart des cas – mais des répertoires privés peuvent toutefois être exposés.

Pourquoi cette compromission de Docker Hub suscite-t-elle alors autant d’inquiétude ? Parce que, lorsqu’un droit d’écriture est accordé à un token d’accès, l’image accessible au public – qui s’appuie sur le code source compromis – peut être masquée ou infectée, ce qui peut donc affecter les applications et les services reposant sur l’image compromise. Par exemple, un développeur peut choisir de télécharger une image de serveur Web qui a été masquée et vulnérabiliser ainsi son propre serveur. En multipliant ce chiffre par le nombre de développeurs utilisateurs de ce service, il est facile de constater l’étendue potentielle de la surface d’attaque. »

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.