Harbor是由VMware中国团队在2016年开发的一款开源的私有容器镜像仓库,经过多年的市场磨合,目前已被众多的企业、互联网公司和初创公司在生产环境中使用,也被绝大多数开发人员视为首选使用的容器镜像仓库之一。除提供镜像存储功能外,Harbor还附有镜像扫描、合规性检查、身份管理、访问控制等安全机制。Harbor目前由云原生计算基金会(Cloud Native Computing Foundation CNCF)托管,该项目已于2020年6月顺利毕业,成为第11个在CNCF毕业的项目。
本篇为云原生服务测绘系列的第二篇,主要从资产发现、资产漏洞、资产脆弱性发现三个维度分析了Harbor所存在的风险,最后笔者针对Harbor提供了一些安全建议,希望各位读者通过阅读此文可对Harbor服务风险暴露有更清晰的认识。
注:文中统计的测绘数据为近一个月的国内数据,相关技术仅供研究交流,请勿应用于未授权的渗透测试。
2.1Harbor资产暴露情况分析
借助测绘数据,我们可以了解到国内Harbor资产地区和版本的分布情况,笔者也以这两个维度为各位读者进行介绍。
2.1.1 Harbor资产地区分布
笔者从测绘数据中得到Harbor相关资产共2557条数据,地区分布如图1所示(资产数较少的由于篇幅原因不在图中显示):
图1. Harbor资产地区分布
以上Harbor资产暴露的端口情况笔者进行了统计,如图2所示(资产端口数暴露较少的由于篇幅原因不在图中显示):
图2. Harbor资产端口分布
以上数据我们可以得出以下信息:
-
国内暴露的Harbor资产约百分之73%左右的数据来源于北京市、广东省、浙江省、上海市,其中北京市暴露707条位居第一
-
国内暴露的Harbor资产使用端口主要分布在443、5000、8443、8080端口,其中443端口数量1573个位居第一
2.1.2 Harbor资产版本分布
借助测绘数据,笔者对国内暴露的Harbor资产版本进行了分析,其分布情况如图3所示(资产版本数较少的由于篇幅原因不在图中显示):
图3. Harbor资产版本分布
经笔者统计,现有国内暴露的Harbor资产中,约45%的资产未获取到具体版本,剩余资产中,绝大多数资产暴露的版本分布在2.0.0、1.10.1、2.3.1、2.2.1、2.2.0、2.1.3、2.3.2之间,值得注意的是,1.10.1版本是2020年2月发布的版本,为相对早期的版本,但在公网上暴露的资产数量却不少。
2.2Harbor漏洞介绍
漏洞介绍
Harbor自2016年3月发布第一个release版本至今已有6年时间,在这期间一共曝出11个漏洞[1],从CVE编号信息我们可以看出漏洞披露时间主要在2019和2020年,根据CVSS 2.0标准,其中无高危漏洞,中危漏洞10个,低危漏洞1个。中危漏洞类型以权限提升、枚举、SQL注入、CSRF/SSRF等为主。笔者也针对这些漏洞进行了信息汇总,其中包括公开暴露的PoC及ExP信息,如下表所示:
2.3Docker资产脆弱性暴露情况分析
图4. Harbor漏洞分布
可以看出,在国内互联网暴露的2557个Harbor资产中,有389个资产被曝出含有CVE-2020-13794漏洞(用户名枚举),319个资产被曝出含有CVE-2020-29662漏洞(未授权访问), 179个资产被曝出含有CVE-2019-19030漏洞(枚举),总和约占所有资产数的35%,其中每个资产可能命中多条CVE。从侧面也反映出这三个CVE漏洞的影响面较大。通过前面的Harbor资产漏洞介绍,我们可以进一步了解这三个漏洞,此处不再赘述。
CVE ID |
影响资产数 |
影响面 |
CVE-2019-3990 |
67 |
5% |
CVE-2019-16097 |
68 |
5% |
CVE-2019-19023 |
67 |
5% |
67 |
5% |
|
CVE-2019-19026 |
67 |
5% |
CVE-2019-19029 |
67 |
5% |
CVE-2019-19030 |
179 |
13% |
CVE-2020-13788 |
69 |
5% |
CVE-2020-13794 |
389 |
29% |
CVE-2020-29662 |
319 |
23% |
2.4安全建议
-
根据官方补丁版本及时对Harbor进行更新
-
根据官方提供的缓解措施进行临时缓解,Harbor相关的漏洞缓解措施可参考官方Github Security advisories版面[1]
Harbor作为企业级的容器镜像仓库,在云原生环境下集成了容器镜像存储、扫描、标识等能力,成为构建云原生基础设施中必不可少的一环。近年来,凭借着Harbor广泛的应用与大规模落地,个人用户和企业纷纷将其部署至云上,在享受着其带来操作便利性的同时也引入了一定的风险。本文从测绘角度出发,用真实数据为各位读者展示了目前国内暴露的Harbor资产及其风险,下一篇笔者将继续针对云原生环境下的其它组件进行相应的测绘风险分析,欢迎各位读者持续关注,若有任何问题欢迎提出,互相交流学习。
参考文献
[1] https://github.com/goharbor/harbor/security/advisories?page=1
[2]CVE-2019-16097 PoC和ExP参考https://github.com/goharbor/harbor/security/advisories?page=1
[3]CVE-2019-3990 PoC和ExP 参考 https://github.com/goharbor/harbor/security/advisories/GHSA-6qj9-33j4-rvhg
[4] CVE-2020-13788 PoC链接https://www.youtube.com/watch?v=v8Isqy4yR3Q
[5] CVE-2020-13794 PoC和ExP 参考https://github.com/goharbor/harbor/security/advisories/GHSA-q9p8-33wc-h432
[6] CVE-2020-29662 PoC参考https://github.com/goharbor/harbor/security/advisories/GHSA-38r5-34mr-mvm7
[7] CVE-2019-19030 PoC参考https://github.com/goharbor/harbor/security/advisories/GHSA-q9x4-q76f-5h5j
星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。基于IaaS环境的安全防护,利用SDN/NFV等新技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案。
原文始发于微信公众号(绿盟科技研究通讯):云原生服务风险测绘分析(二): Harbor
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论