Зомби-слои в Docker: удаленные данные продолжают угрожать конфиденциальности

Исследование компании GitGuardian выявило новую угрозу в мире информационной безопасности, связанную с технологией Docker. Даже после удаления образов Docker, их компоненты — так называемые «зомби-слои» — могут продолжать существовать в реестрах, оставаясь потенциальным источником утечек конфиденциальной информации. Это явление обнаружено в таких платформах, как Amazon Web Services ECR, DockerHub, GitHub Packages и Quay.io.

«Зомби-слои» — это остатки данных, которые продолжают храниться в реестре на протяжении недель и месяцев, даже после того как связанные с ними Docker-образы были удалены. Это становится особенно опасным, когда удаленные слои содержат конфиденциальные данные, такие как пароли, токены доступа или приватные ключи.

Проблема усугубляется тем, что даже при включенной неизменяемости тегов на платформе AWS ECR, злоумышленники могут загрузить слои перед тем, как система отклонит манифест, что позволяет создавать зомби-слои даже в условиях, предполагающих запрет на перезапись образов.

В рамках исследования было проведено экспериментальное тестирование, во время которого исследователи загрузили и затем модифицировали Docker-образ, удаляя слой с конфиденциальной информацией. Проверка показала, что удаленный слой продолжает существовать в реестре и доступен для скачивания. Это подтвердило, что реестры не всегда немедленно удаляют неиспользуемые слои, что создает серьезные риски безопасности.

Для защиты от потенциальных угроз, GitGuardian рекомендует проводить сканирование Docker-образов на предмет секретов перед их публикацией. Это позволит предотвратить утечку чувствительных данных, сохраняя при этом интегритет и безопасность информационной среды.