Alpine Linux-Docker-Images, die über den Docker-Hub verfügbar sind, enthielten einen kritischen Fehler, der es Angreifern ermöglicht, sich auf Systemen mit dem Benutzer root und ohne Passwort zu authentifizieren.
Seit drei Jahren werden einige Alpine Linux-Docker-Images mit einem Root-Benutzer und ohne Passwort ausgeliefert, wodurch Angreifern die Tür für den einfachen Zugriff auf anfällige Server und Workstations, die für die Images bereitgestellt wurden, geöffnet wurde.
Zu den betroffenen Versionen der Alpine Linux Docker-Distributionen gehören 3.3, 3.4, 3.5, 3.6, 3.7, 3.8 und 3.9 Alpine Docker Edge, so die Forscher von Cisco Talos, die den Fehler entdeckt, jede Version getestet und ihre Ergebnisse am Mittwoch veröffentlicht haben. Seit Ende 2015 sind anfällige Bilder von Alpine Linux Dockers über das offizielle Docker-Hub-Portal verfügbar.
"Diese Schwachstelle scheint das Ergebnis einer im Dezember 2015 eingeführten Regression zu sein. Aufgrund der Art dieses Problems können Systeme, die mit betroffenen Versionen des Alpine Linux-Containers eingesetzt werden, die Linux-PAM oder einen anderen Mechanismus verwenden, der die System-Schattendatei als Authentifizierungsdatenbank verwendet, ein NULL-Passwort für den Root-Benutzer akzeptieren", so die Beschreibung der allgemeinen Schwachstellen und Gefährdungen.
Die Schwachstelle geht auf das Jahr 2015 zurück, als sie ursprünglich identifiziert und gepatcht wurde. Wochen nach der Bereitstellung eines Patches wurden jedoch weitere "Regressionstests" im Zusammenhang mit dem Fehler durchgeführt. Unglücklicherweise haben diese Tests "versehentlich diese 'disable root by default'-Flagge aus der 'edge'-Build-Eigenschaften-Datei entfernt, wodurch dieses Problem in nachfolgenden Builds wieder auftauchte", schrieben die Cisco-Talos-Forscher.
Das Cisco-Talos-Team hat seine Forschungsergebnisse am Mittwoch öffentlich bekannt gegeben und sie im Februar privat an die Beteiligten weitergegeben. "Es wurde entdeckt, dass dieses Problem vor unserem Bericht auch in ihrem Github gemeldet und öffentlich gemacht wurde, aber nicht als Sicherheitsproblem gekennzeichnet wurde und somit ungelöst blieb, bis es von Cisco wiederentdeckt und gemeldet wurde", schrieben die Forscher.
Die Auswirkungen des Fehlers könnten begrenzt sein, so einige Benutzer, die sich auf GitHub einklinken. Ein solcher Benutzer, Tianon Gravi, wies darauf hin: "Es sind keine derzeit unterstützten Alpen-Bilder betroffen (alle betroffenen Bilder sind [end of life]), der Angriffsvektor ist zunächst sehr schmal, und es gibt noch einige andere Bilder, die wir reparieren wollen (und unseren Test aktualisieren, um diesen aggressiver zu erfassen).
Peter Adkins von Cisco Umbrella wird für die Suche nach dem Fehler gelobt.
Zur Abhilfe gehört die Deaktivierung der Docker-Images, die auf der Grundlage der betroffenen Versionen erstellt wurden, sagte Cisco Talos. "Die Wahrscheinlichkeit der Ausnutzung dieser Schwachstelle ist umgebungsabhängig, da eine erfolgreiche Ausnutzung voraussetzt, dass ein exponierter Dienst oder eine Anwendung Linux-PAM oder einen anderen Mechanismus verwendet, der die System-Schattendatei als Authentifizierungsdatenbank nutzt", so die Forscher.
