当前位置: 新闻中心 > 公司新闻

 

Docker 2375端口漏洞 全网安全风险报告

日期:2017-02

2017-02-17

杭州安恒信息技术有限公司

海特安全实验室

注:本报告所有基础数据采集于互联网 2017-2-12至2017-2-15

1. Docker简述

Docker图标

Docker是一个开源的应用容器引擎,基于LXC的高级容器引擎,源代码托管在Github 上,基于go语言并遵从Apache2.0协议,开源让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。

2. Docker 2375端口安全风险

为了实现集群管理,Docker提供了远程管理接口。Docker Daemon作为守护进程,运行在后台,可以执行发送到管理接口上的Docker命令。正是因为错误地使用了Docker远端接口,引起了安全漏洞,因此在启动Docker Daemon时,加入-H 0.0.0.0:2375,Docker Daemon就可以接收远端的Docker Client发送的指令。Docker是把2375端口作为非加密端口暴露出来,一般是用在测试环境中。此时,没有任何加密和认证过程,只要知道Docker主机的IP,任何人都可以管理这台主机上的容器和镜像。

Docker Daemon

2.1. 使用docker命令连接

当$HOST主机以docker daemon -H=0.0.0.0:2375方式启动daemon时,导致2375端口对外网开放,攻击者可以直接用Docker命令连接并管理docker daemon进行直接操作:

docker -H tcp://$HOST:2375 info

docker连接查看INFO信息

2.2. 进入容器获取SHELL

使用exec命令进入容器调用/bin/sh:

docker -H x.x.x.x:2375 exec -it 78c310597d11 "/bin/sh"

使用命令连接管理容器

3. 基于全网Docker 安全风险分析

对于全网范围内暴露出来的Docker 2375端口,部分用户会使用2376端口来配置。海特实验室进行了一次统计分析,以此进一步了解目前的安全风险分析。

对应端口号开放的Docker服务数量表

对于这2000+直接暴露在公网的Docker服务都有可能随时被攻击者入侵,以及破坏,或者用来发动网络DDOS攻击等危害。

3.1. Docker版本分析

我们基于这些暴露在全网中的docker进行版本分析,以便了解在这些有安全风险的Docker都存在于哪些系统版本和软件版本中。

Docker版本数量百分比TOP 5

Docker版本数量TOP 5

通过数据对比我们发现,暴露在公网中存在安全风险的Docker版本主要集中于1.13.1/1.12.6 占比达到28%。

KernelVersion版本数量百分比TOP 5

KernelVersion版本数量TOP 5

同时我们对比了系统内核版本,发现问题主要集中在3.13.0/4.4.0版本中。

对于暴露在互联网中的存在安全风险的Docker主要集中在以系统版本3.13.0/4.4.0以Docker 1.13.1/1.12.6的版本中。建议使用以上版本的用户进一步加强安全措施并有效加固服务器。避免服务器被入侵,以及破坏的可能。

3.2. 地理分布分析

对于这些暴露在互联中存在安全风险的Docker,进行IP归属地统计,帮助我们分析对于Docker 2375/2376端口问题,主要集中于那些国家地区。

存在安全风险的Docker地区分布版本TOP 5百分比

存在安全风险的Docker地区分布版本数量

通过数据对比我们发现Docker主要安全风险集中于美国和中国,同时我们建议对Docker的安全风险进行进一步加固。

4. 安全加固建议

1. 建议在使用Docker时将2375端口监听在内网IP地址,避免直接暴露在互联网中。

2. 公网中使用TLS的docker remote api(使用2376端口)。




关于安恒信息

杭州安恒信息技术有限公司(DBAPPSecurity)是由国家千人计划专家范渊先生于2007年创办,是中国领先的信息安全产品和服务解决方案提供商,阿里巴巴使命级战略合作伙伴。作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌,多次入选全球网络安全500强。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续三届世界互联网大会和G20峰会等重大活动提供全方位网络信息安全保障。

公司主营业务涵盖云计算安全,大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等,包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。

安恒信息通过“云监测、云防护、云审计、云应用”四大产品线构建全生命周期的一站式“安恒云”平台,为用户提供全方位、立体式的安全托管服务,帮助用户更快速、更安全、更放心的拥抱云计算和大数据,目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗、互联网+等行业值得信赖的网络安全首选品牌!

 


同时用户可以下载E安全app获得最及时的安全资讯、预警信息及风险威胁指数等等,下载地址:http://www.easyaq.com/


如果有读者就文章内容希望与安恒信息的专家进行交流,欢迎拨打我们的客服热线进行垂询:400-6059-110。
或者通过以下方式联系我们。
电子邮件 :info@dbAppsecurity.com.cn
关注安恒信息官方微信号:DBApp2013 即可与我们的客服人员即时沟通