Más de 10.000 imágenes de contenedores de Docker Hub exponen datos que deberían estar protegidos, incluyendo credenciales en tiempo real para sistemas de producción, bases de datos CI/CD o claves de modelos LLM.
Los secretos afectan a algo más de 100 organizaciones, entre ellas una empresa Fortune 500 y un importante banco nacional.
Docker Hub es el mayor registro de contenedores donde los desarrolladores suben, alojan, comparten y distribuyen imágenes Docker listas para usar que contienen todo lo necesario para ejecutar una aplicación.
Los desarrolladores suelen utilizar imágenes Docker para agilizar todo el ciclo de vida del desarrollo y despliegue del software. Sin embargo, como han demostrado estudios previos, la negligencia en la creación de estas imágenes puede resultar en la exposición de secretos que permanecen válidos durante largos periodos.
Tras escanear imágenes de contenedores subidas a Docker Hub en noviembre, investigadores de seguridad de la empresa de inteligencia de amenazas Flare descubrieron que 10.456 de ellas expusieron una o más claves.
Los secretos más frecuentes eran los tokens de acceso para varios modelos de IA (OpenAI, HuggingFace, Anthropic, Gemini, Groq). En total, los investigadores encontraron 4.000 de estas llaves.
Al examinar las imágenes escaneadas, los investigadores descubrieron que el 42% de ellas exponían al menos cinco valores sensibles.
«Estas exposiciones multi-secretas representan riesgos críticos, ya que a menudo proporcionan acceso completo a entornos en la nube, repositorios de Git, sistemas CI/CD, integraciones de pagos y otros componentes clave de infraestructura», señala Flare en un informe de hoy.
secreta Fuente: Destellación
El análisis de 205 espacios de nombres permitió a los investigadores identificar un total de 101 empresas, en su mayoría pequeñas y medianas empresas, con algunas grandes empresas presentes en el conjunto de datos.
Según el análisis, la mayoría de las organizaciones con secretos expuestos están en el sector del desarrollo de software, seguidas por entidades del mercado e industrial, así como de IA y sistemas inteligentes.
Más de 10 empresas financieras y bancarias vieron expuestos sus datos sensibles.
Fuente: Flare
Según los investigadores, uno de los errores más frecuentes observados fue el uso de . ENV que los desarrolladores utilizan para almacenar credenciales de base de datos, claves de acceso a la nube, tokens y diversos datos de autenticación para un proyecto.
Además, encontraron tokens API codificados en forma fija para servicios de IA codificados en archivos de aplicación Python, archivos config.json, configuraciones YAML, tokens de GitHub y credenciales para múltiples entornos internos.
Algunos de los datos sensibles estaban presentes en el manifiesto de imágenes Docker, un archivo que proporciona detalles sobre la imagen.
Muchas de las filtraciones parecen originarse en las llamadas cuentas de ‘TI en la sombra’, que son cuentas de Docker Hub que quedan fuera de los mecanismos más estrictos de supervisión corporativa, como las de uso personal o de contratistas.
Flare señala que aproximadamente el 25% de los desarrolladores que expusieron accidentalmente secretos en Docker Hub se dieron cuenta del error y eliminaron el secreto filtrado del contenedor o del archivo manifiesto en menos de 48 horas.
Sin embargo, en el 75% de estos casos, la llave filtrada no fue revocada, lo que significa que cualquiera que la robara durante el periodo de exposición aún podía usarla más tarde para montar ataques.
de explotación de secretos expuestosFuente: Flare
Flare sugiere que los desarrolladores eviten almacenar secretos en imágenes de contenedores, dejen de usar credenciales estáticas y duraderas, y centralicen la gestión de secretos mediante un gestor de bóvedas o gestor de secretos dedicado.
Las organizaciones deben implementar un escaneo activo a lo largo de todo el ciclo de vida del desarrollo de software y revocar los secretos expuestos e invalidar las sesiones antiguas de inmediato.
Fuente: Bleeping Computer
