Docker Hub 的数千个镜像泄露了敏感数据
德国亚琛工业大学的研究人员发表的一项研究表明,Docker Hub 上托管的数以万计的容器镜像包含机密信息,使软件、在线平台和用户面临巨大的攻击面。 Docker Hub 是一个基于云的存储库,供 Docker 社区存储、共享和分发 Docker 镜像,这些容器创建模板包括所有必要的软件代码、运行时刻、库、环境变量和配置文件,以便在Docker中轻松部署应用程序。 研究人员分析了来自 Docker Hub 和数千私人注册表的 337171 个镜像,发现大约 8.5% 包含私钥和 API 密钥等敏感数据,并且许多暴露的密钥都被积极利用,破坏了依赖它们的元素的安全性。 该研究从 337171 个 Docker 镜像中收集了包含 1647300 个层面的海量数据集,并尽可能从每个存储库中获取最新的镜像版本。使用正则表达式搜索特定数据分析显示,28621 个 Docker 镜像中暴露了 52107 个有效私钥和 3158 个不同的 API密钥。经过研究人员验证,这些不包括测试密钥、API密钥示例和无效匹配。大多数暴露的数据(95% 为私钥,90% 为 API密钥)都驻留在单用户映像中,这表明它们很可能是无意泄露的。 调查结果 影响最大的是 Docker Hub,其暴露比例为 9.0%,而来自私有注册表的镜像暴露比例为 6.3%。这种差异可能表明 Docker Hub 用户通常比设置私有存储库的用户对容器安全性的了解较差。 使用暴露的密钥 接下来,研究人员确定了所暴露秘密的实际用途,以了解攻击面的大小。令人震惊的是,研究人员发现了 22082 个依赖于暴露私钥的受损证书,其中包括 7546 个私有 CA 签名证书和 1060 个公共 CA 签名证书。 这上千个 CA 签名证书尤其值得关注,因为这些证书通常被大量用户使用。在研究时,141 个 CA 签名的证书仍然有效,这在一定程度上降低了风险。 为了进一步确定暴露的秘密在野外的用途,研究人员使用了 Censys 数据库提供的全互联网测量结果,发现275269 台主机与泄露的密钥存在关联,其中包括了8674 个 MQTT和19 个 AMQP 主机可能传输隐私敏感的物联网 (IoT) 数据。 这种程度的暴露凸显了容器安全方面的巨大问题,以及在创建镜像时未首先清除镜像中的机密信息这类过失性错误。 关于API暴露,分析发现大多数容器(2920个)属于亚马逊AWS等云提供商,但也有一些涉及Stripe等金融服务。目前,研究人员还不清楚这些API在野外的具体利用情况。 转自Freebuf,原文链接:https://www.freebuf.com/news/372226.html 封面来源于网络,如有侵权请联系删除
使用设备出厂密码存在高安全风险 F-Secure 建议用户及时更改
据外媒报道,仍有许多人在用着糟糕的密码,这是一个巨大的安全风险。很显然在这件事情上产品公司也有错,因为它们在其设备中使用了极容易被猜到的默认用户名和密码–而黑客们深谙这点。 作为一种网络攻击模式检测方式,来自安全公司F-Secure的研究人员在世界各国设置了一系列“蜜罐”诱饵服务器。黑客尝试使用的一些最流行密码出现在了许多最糟糕的密码列表中,像“12345”和“password”但“admin”被证明是最流行的。 许多黑客尝试使用的另一个密码则是“vivx”,这是中国大华公司DVR的默认密码。名单上的另外两个密码“1001chin”和“taZz@23495859”也是其他嵌入式设备的出厂默认密码,包括路由器。 据透露,99.9%的蜜罐流量来自机器人、恶意软件及其他工具。这些攻击可以来自任何联网设备,从传统的PC到智能手表乃至IoT牙刷。 大部分攻击来自美国,而最受欢迎的攻击目的地则是乌克兰,其次是中国、奥地利和美国。 值得注意的是,许多攻击者都会通过其他国家的代理展开攻击,这么做的目的当然是为了避开身份验证环节,所以这份表单的准确性还有待商榷。 当提到最受攻击的TCP端口时,SMB端口445则是当中最受欢迎的,其有5.26亿次点击量,这表明攻击者依旧热衷于使用SMB蠕虫和诸如欺骗机器人之类的攻击。Telnet以5.23亿次的点击量位居第二,这表明对IoT设备的攻击仍非常常见。 另外,该报告还提醒消费者更改设备的默认密码和出厂设置并遵守标准的安全防范措施比如说及时更新固件和补丁。另外,不要使用糟糕的密码。 (稿源:cnBeta,封面源自网络。)
苹果 Safari 浏览器将全面封杀超过 13 个月的长效 HTTPS 证书
Safari将在今年晚些时候不再接受新的长效HTTPS证书,也就是自其创建之日起过13个月有效期的新证书。这意味着使用在截止时间点之后发出的长寿命SSL/TLS证书的网站将在苹果系统的浏览器中引发隐私错误。 苹果在证书颁发机构浏览器论坛(CA / Browser)会议上宣布了该政策。从2020年9月1日开始,任何有效期超过398天的新网站证书都不会受到Safari浏览器的信任,而是会被拒绝。而在截止日期之前颁发的较旧证书不受此规则的影响。 通过在Safari中实施该策略,苹果将会通过扩展在所有iOS和macOS设备上实施该策略。这将对网站管理员和开发人员造成一定影响,他们需要调整接下来的证书运营策略,确保其证书满足苹果的要求,否则可能会影响超过10亿台设备和计算机上的页面访问。 PKI和SSL管理公司Sectigo的高级研究员蒂姆·卡兰(Tim Callan)参加了本周在斯洛伐克举行的会议,他证实了这一消息:“本周,苹果在第49届CA/浏览器论坛宣布,他们的产品将否决在9月1日或之后发行的期限超过398天的证书的有效性。9月1日之前颁发的证书将具有与今天的证书相同的可接受期限,即825天,从而无需对这些证书采取任何措施。” 苹果,谷歌和CA/Browser的其他成员已经考虑了缩短证书有效期的问题,该政策有其优点和缺点。 此举的目的是通过确保开发人员使用具有最新加密标准的证书来提高网站的安全性,并减少可能被盗用并重新用于网络钓鱼和恶意驱动程序攻击的旧的、被忽略的证书的数量,短期证书将确保人们在大约一年内迁移到更安全的证书。 缩短证书的使用寿命确实存在一些缺点,通过增加证书替换的频率,苹果和其他公司也使得使用加密证书的网站所有者和企业的管理周期变得更加复杂。不过,“公司可以依靠自动化来协助证书的部署,更新和生命周期管理,以减少人员开销和随着证书更换频率的增加而出现错误的风险。”例如,Let’s Encrypt发行了免费的HTTPS证书,这些证书通常会在90天后过期,并提供了自动续订的工具,如今它们已在整个Web上使用。 (稿源:cnBeta,封面源自网络。)
Let’s Encrypt 倡议新证书策略 提高抗网络攻击能力
Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。 域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。 在新闻稿中,Let’s Encrypt特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助,并表示将继续与研究人员合作,以改善设计和实施的有效性。 (稿源:cnBeta,封面源自网络。)
谷歌曝赛门铁克伪造证书:多个步骤减少信任
Google Chrome 工程师在开发者邮件列表上宣布将逐步减少对赛门铁克( Symantec )证书的信任。Google 发现赛门铁克旗下的 Root CA 在过去几年内未经同意签发了众多域名的数千个证书,其中包括 2015 年在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。 赛门铁克( Symantec )是世界顶级的安全机构之一,也是世界知名的 ROOT CA 机构,非常多的知名站点均使用赛门铁克颁发的证书。 据外媒报道,12 月 15 日 Google 在其官方博客上宣布将不再信任由赛门铁克旗下 Thawte CA 颁发的 Class 3 Public Primary CA 根证书。Google 称,包括旗下 Google Chrome 浏览器、Android 系统以及其他的 Google 产品都将不再信任 Class 3 Public Primary CA 根证书。Google 还透露赛门铁克似乎并不愿意更换该证书,而 该证书已不能保证用户的安全。 Google Chrome 团队称,他们从 1 月 19 日开始调查赛门铁克的证书有效性,在调查期间发现有问题的证书数量从最初报告的 127 个暴涨到至少 3 万个。开发者称,他们对赛门铁克公司的证书签发政策和实践不再抱有信心,为了用户安全起见,他们决定采取多个步骤减少对赛门铁克所签发证书的信任:对赛门铁克新签发证书接受的有效期减少到 9 个月或更少;通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任,鼓励替换现有的证书;移除对赛门铁克所签发证书的 Extended Validatio 状态的认可。Google 工程师称,他们发现赛门铁克公司允许至少四个第三方访问它的基础设施,甚至允许它们签发证书。 稿源:solido、gfan,封面源自网络