不適切に公開されていたDockerイメージにより、Vineのソースコードが流出 14
ストーリー by headless
発見 部門より
発見 部門より
あるAnonymous Coward 曰く、
やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事、 The Hacker Newsの記事)。
手法を簡単にまとめると以下のようになる。
- Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見
- Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認
- 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含まれていることが判明
avicoder氏はこの脆弱性をVineの運営元であるTwitterに報告し、脆弱性報告に対する報奨金を受け取ったとのこと。とりあえず、一般には公開していないドメインだからといってアクセス制限やセキュリティを怠ると、このように外部から発見されて狙われる、ということがあるので注意したい。