Docker Hub alarm veriyor: Popüler imajların üçte ikesinde kritik güvenlik açığı tespit edildi

Dünyanın en büyük konteyner kayıt platformlarından biri olan Docker Hub'da yer alan popüler imajlarla ilgili yayımlanan yeni araştırma, siber güvenlik açısından dikkat çeken sonuçlar ortaya koydu. Kaspersky Container Security (KCS) tarafından gerçekleştirilen analizde, 10 bin ila 1 milyon kez indirilen popüler Docker imajlarının yalnızca yüzde 10'unun tamamen güncel olduğu belirlendi. En yüksek indirme sayısına sahip imajlarda ise kritik güvenlik açıklarının yaygın şekilde bulunduğu tespit edildi.

Her ay 11 milyardan fazla görüntü indirme işleminin gerçekleştirildiği Docker Hub, yazılım geliştiriciler tarafından yoğun olarak tercih ediliyor. Ancak hazır Docker imajlarının doğrudan veya çok az değişiklikle kullanılması, kurumların siber saldırılara açık hale gelmesine neden olabiliyor.

Bu Habere de Bak

Kaspersky’den DevSecOps süreçlerini hızlandıracak yeni güvenlik hamlesi

Araştırmada, 1 milyon indirme sınırına ulaşmış rastgele seçilen 100 Docker Hub imajı incelendi. Sonuçlar, bu imajların yüzde 64'ünde kritik güvenlik açıkları bulunduğunu ortaya koydu. Bu açıkların saldırganlara uzaktan kod çalıştırma (RCE), sunucu süreçlerini durdurma ve sistemlerde en yüksek yetki seviyesine ulaşma imkânı sağlayabildiği belirtildi.

Raporda, "1 milyon indirme sınırına ulaşmış 100 rastgele Docker Hub imajı üzerinde yapılan tarama, bu imajların %64'ünde kritik güvenlik açıkları olduğunu gösterdi. Söz konusu açıklar, saldırganların uzaktan kod çalıştırmasına (RCE), sunucu süreçlerini kilitlemesine veya yerel erişim üzerinden en üst düzey yönetici (root) yetkileri elde etmesine imkan tanıyor" ifadelerine yer verildi.

Araştırmada dikkat çekilen bir diğer konu ise güvenlik yamalarının yönetimi oldu. Hazır Docker imajlarında otomatik güncelleme desteğinin bulunmaması nedeniyle geliştiricilerin imajları manuel olarak yeniden oluşturması gerekiyor. Bunun yapılmaması eski güvenlik açıklarının kullanılmasına zemin hazırlarken, çok sık güncelleme yapılması ise yazılım tedarik zinciri saldırıları açısından yeni riskler doğurabiliyor.

Raporda, "Yetersiz yama yönetimi, bilinen güvenlik açıklarının kullanılmasına zemin hazırlarken; çok sık güncelleme yapılması da yazılım tedarik zinciri saldırılarına maruz kalma riskini artırıyor" değerlendirmesi yapıldı.

Yapılandırma hataları güvenliği zayıflatıyor

Araştırma, yalnızca yazılım açıklarının değil, yanlış yapılandırmaların da ciddi güvenlik sorunlarına neden olduğunu ortaya koydu. Konteynerlerin içerisine gömülen varsayılan parolalar, gizli anahtarlar, hatalı dosya izinleri ve devre dışı bırakılmış kimlik doğrulama mekanizmaları saldırganlar tarafından kolaylıkla istismar edilebiliyor.

Öne çıkan güvenlik riskleri arasında;

• Kimlik bilgilerinin güvenli olmayan şekilde saklanması,
• Konteyner içerisinde yetki yükseltme (Privilege Escalation),
• Yazılımların bütünlüğünün doğrulanmadan indirilmesi,
• Varsayılan parolaların değiştirilmeden kullanılması yer aldı.

Raporda, "Bir konteyner görüntüsü tamamen güncel olsa bile yanlış yapılandırılmışsa ciddi riskler taşıyabiliyor. Gömülü anahtarlar ve gizli bilgiler, devre dışı bırakılmış kimlik doğrulama mekanizmaları, varsayılan parolalar ve hatalı dosya izinleri saldırganlar tarafından kolayca kullanılabiliyor" denildi.

Çalınan veriler kurum ağını da riske atabiliyor

Araştırmada ele geçirilen konteynerlerin yalnızca kendi içindeki verileri değil, tüm kurum altyapısını tehdit edebileceğine dikkat çekildi. Ele geçirilen sistemlerin DDoS saldırılarında kullanılabildiği, kripto para madenciliği yaptırılabildiği, ağ trafiğinin yönlendirilebildiği ve diğer konteynerlere sıçrayarak kurum ağının tamamının riske atılabildiği vurgulandı.

Raporda ayrıca, "Bu nedenle risklerin tespit edilebilmesi için tüm katmanların ve derleme komutlarının ayrıntılı şekilde incelenmesi gerekiyor." ifadesiyle güvenlik kontrollerinin yalnızca son katmanda değil, tüm yapı boyunca yapılmasının önemine dikkat çekildi.

Araştırma, konteyner tabanlı altyapı kullanan kurumların yalnızca güvenlik açıklarını kapatmasının yeterli olmadığını; yapılandırma kontrolleri, güvenilir yazılım kaynakları, düzenli güvenlik taramaları ve bütünlük doğrulama mekanizmalarını da eksiksiz uygulaması gerektiğini ortaya koyuyor.