黑客可利用Docker漏洞下载Twitter Vine的完整源码

你猜怎么着?有人竟然可以将Twitter Vine的完整源代码下载了下来。

Vine是一个短视频分享服务,用户可以利用Vine来分享一个时长为六秒的视频剪辑,并无缝地嵌入至Twitter消息之中。与其它视频分享服务不同的是,Vine支持断断续续的视频拍摄。也就是说,Vine 可以把几条连续拍摄的视频片段自动拼接起来。用户只能使用Vine应用拍摄和分享视频,但不能导入已有视频。至于视频时长为何限制在六秒,Vine开发团队则称,他们测试了从四秒到十秒之间的长度,但六秒钟的视频长度是最为理想的。

北京时间2012年10月10日, Twitter正式宣布收购了视频分享创业公司Vine。业内人士普遍认为,Twitter的这次收购行为是为了获得该公司的科技人才。

根据国外媒体的最新报道,来自印度的漏洞“赏金猎人”Avinash在Vine中发现了一个漏洞,这个漏洞将允许他直接下载一个包含有Vine完整源代码的Docker镜像,而且系统中并没有任何的保护机制来防止这类行为的发生。

Docker诞生于2014年六月份,Docker 是一个开源的应用容器引擎,开发者可以使用Docker来打包他们的应用,并将应用程序和相关的依赖包放到一个可移植的容器中,然后发布到任何流行的 Linux 机器上。除此之外,Docker也可以让开发者轻松地实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。Docker 采用客户端-服务器 (C/S) 架构模式,使用远程API来管理和创建Docker容器。Docker 容器通过 Docker 镜像来创建,容器与镜像的关系类似于面向对象编程中的对象与类。目前,有大量的新型科技公司正在使用Docker技术。

但是按理来说,Vine服务所使用的Docker镜像应该是无法公开访问到的。但事实正好相反,任何人都可以通过网络来公开获取到其Docker镜像。

当安全研究专家Avinash在Vine中寻找安全漏洞的过程中,他使用到了Censys.io。Censys 是一款用以搜索联网设备信息的新型搜索引擎 ,安全专家可以使用它来评估他们实现方案的安全性,而黑客则可以使用它作为前期侦查攻击目标和收集目标信息的强大利器。Censys是一款免费的搜索引擎,最初由密歇根大学的研究人员设计和研发,目前由谷歌公司提供技术支持。

Censys.io与目前最为流行的搜索引擎Shodan非常类似,黑客可以使用这一搜索引擎来搜索互联网中所有存在安全漏洞的设备。Censys搜索引擎能够扫描整个互联网,除此之外,Censys 每天都会扫描IPv4地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。

在Censys引擎的帮助下,Avinash发现了八十多个Docker镜像文件,但是他专门下载了一个名为“vinewww”的镜像文件。因为从网站服务器的命名约定来考虑,这个镜像文件很可能代表的就是服务器中的www目录,而这一目录中存放的一般都是网站应用的源代码。

当下载完成之后,他立刻运行了Docker镜像“vinewww”,一切果然都在他的意料之中。

安全研究专家Avinash不仅获取到了Vine的完整源代码,而且还得到了它的API密钥以及很多第三方服务的密钥。他在分析报告中写到:“在运行镜像文件的过程中,我没有提供任何形式的运行参数,但我仍然成功在本地设备上加载了一个VINE副本。”

这名二十三岁的漏洞“赏金猎人”于2016年3月31日将这个漏洞的详细信息报告给了Twitter,并向Twitter的技术人员演示了完整的漏洞利用过程。据此,Twitter向其提供了10080美金的漏洞奖励,并且公司的安全技术人员在五分钟之内就成功修复了这一漏洞。

Avinash是一名非常活跃的漏洞“赏金猎人”,从2015年至今,他已经向Twitter提交了十九个安全漏洞了。