E安全7月25日讯Twitter存在高危漏洞,攻击者能从服务器下载Vine(Vine是微软公司开发基于地理位置的SNS系统)全部源代码,此后Twitter花5分钟时间修复了该漏洞。
安全研究员Avicoder发现这个漏洞,并于3月31日向Twitter反映情况。漏洞的核心在于Twitter员工使用不安全的Docker设置管理Vine的内容。
Docker是管理服务器镜像、创建、输送和管理应用程序的开放式平台。Docker可用来配置笔记本电脑、虚拟机或云服务等的OS镜像。
通常,由于Docker安装处理的内容敏感,因此Docker安装不供开放使用。Twitter的Docker安装则允许Avicoder探测查看能发现的一切。
更糟的是,Twitter未运行最新版的Docker(v2),而是用的旧API,v1。通过Docker API v1文档网站,Avicoder尝试所有能找到的命令发现可以执行的操作。
Avicoder发现一系列命令可用,包括搜索和检索Twitter Docker设置的内容。
研究员从Twitter Vine服务器下载超过80 个Docker镜像
Avicoder能从Twitter Docker安装发现并下载超过80个服务器镜像。
Avicoder使用本地Docker客户端在笔记本电脑安装数个这些OS镜像后,他发现其中一个服务器镜像包含Vine服务的全部源代码。
Avicoder解释道,“我能看到Vine的全部源代码、API密钥以及第三方密钥和秘密数据。甚至运行镜像不需要任何参数,我能在本地托管Vine的副本。”
Avicoder向Twitter报告了漏洞,5分钟后,Docker安装被安全保护。Twitter为Avicoder给予10,080美元的漏洞报告奖金。
