ΠΠΈΠ½Π°Π»Π°ΡΠ° ΡΡΠ±ΠΎΡΠ°, 18 ΠΌΠ°ΠΉ, ΠΠΆΠ΅ΡΠΈ ΠΠ°ΠΌΠ±Π»ΠΈΠ½ ΠΎΡ Kenna Security
Π€ΠΎΠ½ Ρ Π°Π»ΠΏΠΈΠΉΡΠΊΠΈ
ΠΡΠΈΡΠΈΠ½Π°ΡΠ° Π·Π° ΠΌΠΈΠ½ΠΈ-ΠΈΠ·ΡΠ»Π΅Π΄Π²Π°Π½Π΅ΡΠΎ Π±Π΅ΡΠ΅ Π΄ΠΎΠΊΠ»Π°Π΄ΡΡ Π·Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π½Π° Talos, ΠΊΠΎΠΉΡΠΎ ΡΠ΅ ΠΏΠΎΡΠ²ΠΈ ΠΏΠΎ-ΡΠ°Π½ΠΎ ΡΠΎΠ·ΠΈ ΠΌΠ΅ΡΠ΅Ρ (
βΠΡΠΈΡΠΈΠ°Π»Π½ΠΈΡΠ΅ Π²Π΅ΡΡΠΈΠΈ Π½Π° Alpine Linux Docker ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΡ (ΠΎΡ v3.3) ΡΡΠ΄ΡΡΠΆΠ°Ρ NULL ΠΏΠ°ΡΠΎΠ»Π° Π·Π° root ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»Ρ. Π’Π°Π·ΠΈ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π΅ ΡΠ΅Π·ΡΠ»ΡΠ°Ρ ΠΎΡ ΡΠ΅Π³ΡΠ΅ΡΠΈΡ, Π²ΡΠ²Π΅Π΄Π΅Π½Π° ΠΏΡΠ΅Π· Π΄Π΅ΠΊΠ΅ΠΌΠ²ΡΠΈ 2015 Π³. Π‘ΡΡΠ½ΠΎΡΡΡΠ° Π½Π° ΡΠΎΠ²Π° Π΅, ΡΠ΅ ΡΠΈΡΡΠ΅ΠΌΠΈΡΠ΅, Π²Π½Π΅Π΄ΡΠ΅Π½ΠΈ Ρ ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ½ΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° Alpine Linux Π² ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅Ρ ΠΈ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΡΠΈ Linux PAM ΠΈΠ»ΠΈ Π΄ΡΡΠ³ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΡΠΌ, ΠΊΠΎΠΉΡΠΎ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° ΡΠΈΡΡΠ΅ΠΌΠ½ΠΈΡ shadow ΡΠ°ΠΉΠ» ΠΊΠ°ΡΠΎ Π±Π°Π·Π° Π΄Π°Π½Π½ΠΈ Π·Π° ΡΠ΄ΠΎΡΡΠΎΠ²Π΅ΡΡΠ²Π°Π½Π΅, ΠΌΠΎΠ³Π°Ρ Π΄Π° ΠΏΡΠΈΠ΅ΠΌΠ°Ρ NULL ΠΏΠ°ΡΠΎΠ»Π° Π·Π° root ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»Ρ.
ΠΠ΅ΡΡΠΈΠΈΡΠ΅ Π½Π° Docker ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΡ Ρ Alpine, ΡΠ΅ΡΡΠ²Π°Π½ΠΈ Π·Π° ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ°, Π±ΡΡ Π° 3.3β3.9 Π²ΠΊΠ»ΡΡΠΈΡΠ΅Π»Π½ΠΎ, ΠΊΠ°ΠΊΡΠΎ ΠΈ ΠΏΠΎΡΠ»Π΅Π΄Π½Π°ΡΠ° Π²Π΅ΡΡΠΈΡ Π½Π° edge.
ΠΠ²ΡΠΎΡΠΈΡΠ΅ Π½Π°ΠΏΡΠ°Π²ΠΈΡ Π° ΡΠ»Π΅Π΄Π½Π°ΡΠ° ΠΏΡΠ΅ΠΏΠΎΡΡΠΊΠ° Π·Π° Π·Π°ΡΠ΅Π³Π½Π°ΡΠΈΡΠ΅ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈ:
βΠ ΡΡΡ Π°ΠΊΠ°ΡΠ½ΡΡΡ ΡΡΡΠ±Π²Π° Π΄Π° Π±ΡΠ΄Π΅ ΠΈΠ·ΡΠΈΡΠ½ΠΎ Π΄Π΅Π°ΠΊΡΠΈΠ²ΠΈΡΠ°Π½ Π² Docker ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΡ, ΡΡΠ·Π΄Π°Π΄Π΅Π½ΠΈ ΠΎΡ ΠΏΡΠΎΠ±Π»Π΅ΠΌΠ½ΠΈ Π²Π΅ΡΡΠΈΠΈ Π½Π° Alpine. ΠΠ΅ΡΠΎΡΡΠ½ΠΎΡΠΎ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ Π½Π° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠ° Π·Π°Π²ΠΈΡΠΈ ΠΎΡ ΡΡΠ΅Π΄Π°ΡΠ°, ΡΡΠΉ ΠΊΠ°ΡΠΎ Π½Π΅ΠΉΠ½ΠΈΡΡ ΡΡΠΏΠ΅Ρ ΠΈΠ·ΠΈΡΠΊΠ²Π° Π²ΡΠ½ΡΠ½ΠΎ ΠΏΡΠ΅ΠΏΡΠ°ΡΠ΅Π½Π° ΡΡΠ»ΡΠ³Π° ΠΈΠ»ΠΈ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅, ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΡΠΎ Linux PAM ΠΈΠ»ΠΈ Π΄ΡΡΠ³ ΠΏΠΎΠ΄ΠΎΠ±Π΅Π½ ΠΌΠ΅Ρ Π°Π½ΠΈΠ·ΡΠΌ."
ΠΡΠΎΠ±Π»Π΅ΠΌΡΡ Π±Π΅ΡΠ΅ /etc/shadow
ΠΈΠ»ΠΈ ΡΠ΅ ΡΠ²Π΅ΡΠ΅ΡΠ΅, ΡΠ΅ ΠΏΠ°ΠΊΠ΅ΡΡΡ Π»ΠΈΠΏΡΠ²Π° linux-pam
.
ΠΡΠΎΠ΄ΡΠ»ΠΆΠ°Π²Π° Ρ Docker Hub
ΠΠΆΠ΅ΡΠΈ ΠΠ°ΠΌΠ±Π»ΠΈΠ½ ΡΠ΅ΡΠΈ Π΄Π° Π±ΡΠ΄Π΅ Π»ΡΠ±ΠΎΠΏΠΈΡΠ΅Π½ Π·Π° ΡΠΎΠ²Π° βΠΊΠΎΠ»ΠΊΠΎ ΠΎΠ±ΠΈΡΠ°ΠΉΠ½Π° ΠΌΠΎΠΆΠ΅ Π΄Π° Π±ΡΠ΄Π΅ ΠΏΡΠ°ΠΊΡΠΈΠΊΠ°ΡΠ° Π·Π° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Π½Π΅ Π½Π° Π½ΡΠ»Π΅Π²ΠΈ ΠΏΠ°ΡΠΎΠ»ΠΈ Π² ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅ΡΠΈβ. ΠΠ° ΡΠ΅Π»ΡΠ° ΡΠΎΠΉ Π½Π°ΠΏΠΈΡΠ° ΠΌΠ°Π»ΡΠΊ
- ΡΡΠ΅Π· curl Π·Π°ΡΠ²ΠΊΠ° ΠΊΡΠΌ API Π² Docker Hub ΡΠ΅ ΠΈΠ·ΠΈΡΠΊΠ²Π° ΡΠΏΠΈΡΡΠΊ Ρ Docker ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΡ, Ρ ΠΎΡΡΠ²Π°Π½ΠΈ ΡΠ°ΠΌ;
- ΡΡΠ΅Π· jq ΡΠ΅ ΡΠΎΡΡΠΈΡΠ° ΠΏΠΎ ΠΏΠΎΠ»Π΅
popularity
, Π° ΠΎΡ ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΡΠ΅ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠΈ ΠΎΡΡΠ°Π²Π° ΠΏΡΡΠ²Π°ΡΠ° Ρ ΠΈΠ»ΡΠ΄Π°; - Π·Π° Π²ΡΠ΅ΠΊΠΈ ΠΎΡ ΡΡΡ
Π΅ ΠΈΠ·ΠΏΡΠ»Π½Π΅Π½ΠΎ
docker pull
; - Π·Π° Π²ΡΡΠΊΠΎ ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΠ΅, ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΎ ΠΎΡ Docker Hub, ΡΠ΅ ΠΈΠ·ΠΏΡΠ»Π½ΡΠ²Π°
docker run
Ρ ΡΠ΅ΡΠ΅Π½Π΅ Π½Π° ΠΏΡΡΠ²ΠΈΡ ΡΠ΅Π΄ ΠΎΡ ΡΠ°ΠΉΠ»Π°/etc/shadow
; - Π°ΠΊΠΎ ΡΡΠΎΠΉΠ½ΠΎΡΡΡΠ° Π½Π° Π½ΠΈΠ·Π° Π΅ ΡΠ°Π²Π½Π° Π½Π°
root:::0:::::
, ΠΈΠΌΠ΅ΡΠΎ Π½Π° ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΠ΅ΡΠΎ ΡΠ΅ Π·Π°ΠΏΠΈΡΠ²Π° Π² ΠΎΡΠ΄Π΅Π»Π΅Π½ ΡΠ°ΠΉΠ».
ΠΠ°ΠΊΠ²ΠΎ ΡΡΠ°Π½Π°? IN
βΠ‘ΡΠ΅Π΄ Π½Π°ΠΉ-ΠΈΠ·Π²Π΅ΡΡΠ½ΠΈΡΠ΅ ΠΈΠΌΠ΅Π½Π° Π² ΡΠΎΠ·ΠΈ ΡΠΏΠΈΡΡΠΊ Π±ΡΡ Π° govuk/governmentpaas, hashicorp, microsoft, monsanto ΠΈ mesosphere. Π kylemanna/openvpn Π΅ Π½Π°ΠΉ-ΠΏΠΎΠΏΡΠ»ΡΡΠ½ΠΈΡΡ ΠΊΠΎΠ½ΡΠ΅ΠΉΠ½Π΅Ρ Π² ΡΠΏΠΈΡΡΠΊΠ°, ΡΡΠ°ΡΠΈΡΡΠΈΠΊΠ°ΡΠ° ΠΌΡ Π²ΡΠ·Π»ΠΈΠ·Π° Π½Π° ΠΏΠΎΠ²Π΅ΡΠ΅ ΠΎΡ 10 ΠΌΠΈΠ»ΠΈΠΎΠ½Π° ΡΠ΅Π³Π»Π΅Π½ΠΈΡ.β
Π‘ΡΡΡΠ²Π° ΡΠΈ Π΄Π° ΠΏΡΠΈΠΏΠΎΠΌΠ½ΠΈΠΌ ΠΎΠ±Π°ΡΠ΅, ΡΠ΅ ΡΠΎΠ²Π° ΡΠ²Π»Π΅Π½ΠΈΠ΅ ΡΠ°ΠΌΠΎ ΠΏΠΎ ΡΠ΅Π±Π΅ ΡΠΈ Π½Π΅ ΠΎΠ·Π½Π°ΡΠ°Π²Π° ΠΏΡΡΠΊΠ° ΡΡΠ·Π²ΠΈΠΌΠΎΡΡ Π² ΡΠΈΠ³ΡΡΠ½ΠΎΡΡΡΠ° Π½Π° ΡΠΈΡΡΠ΅ΠΌΠΈΡΠ΅, ΠΊΠΎΠΈΡΠΎ Π³ΠΈ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ: Π²ΡΠΈΡΠΊΠΎ Π·Π°Π²ΠΈΡΠΈ ΠΎΡ ΡΠΎΠ²Π° ΠΊΠ°ΠΊ ΡΠΎΡΠ½ΠΎ ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°Ρ (Π²ΠΈΠΆΡΠ΅ ΠΊΠΎΠΌΠ΅Π½ΡΠ°ΡΠ° ΠΎΡ ΡΠ»ΡΡΠ°Ρ Alpine ΠΏΠΎ-Π³ΠΎΡΠ΅). ΠΠΈΠΆΠ΄Π°Π»ΠΈ ΡΠΌΠ΅ ΠΎΠ±Π°ΡΠ΅ βΠΌΠΎΡΠ°Π»Π° Π½Π° ΠΈΡΡΠΎΡΠΈΡΡΠ°β ΠΌΠ½ΠΎΠ³ΠΎ ΠΏΡΡΠΈ: ΠΏΡΠΈΠ²ΠΈΠ΄Π½Π°ΡΠ° ΠΏΡΠΎΡΡΠΎΡΠ° ΡΠ΅ΡΡΠΎ ΠΈΠΌΠ° ΠΎΠ±ΡΠ°ΡΠ½Π° ΡΡΡΠ°Π½Π°, ΠΊΠΎΡΡΠΎ Π²ΠΈΠ½Π°Π³ΠΈ ΡΡΡΠ±Π²Π° Π΄Π° ΡΠ΅ ΠΏΠΎΠΌΠ½ΠΈ ΠΈ ΠΏΠΎΡΠ»Π΅Π΄ΡΡΠ²ΠΈΡΡΠ° ΠΎΡ ΠΊΠΎΡΡΠΎ Π΄Π° ΡΠ΅ Π²Π·Π΅ΠΌΠ°Ρ ΠΏΡΠ΅Π΄Π²ΠΈΠ΄ Π² ΡΡΠ΅Π½Π°ΡΠΈΠΈΡΠ΅ Π·Π° ΡΠ΅Ρ Π½ΠΎΠ»ΠΎΠ³ΠΈΡΠ½ΠΎ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅.
PS
ΠΡΠΎΡΠ΅ΡΠ΅ΡΠ΅ ΡΡΡΠΎ Π² Π½Π°ΡΠΈΡ Π±Π»ΠΎΠ³:
- Β«
Π‘ΡΠ°ΡΠΈΡΡΠΈΡΠ΅ΡΠΊΠΈ Π΄Π°Π½Π½ΠΈ Π·Π° ΠΎΡΠ½ΠΎΠ²Π½ΠΈΡΠ΅ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠΎΠ½Π½ΠΈ ΡΠΈΡΡΠ΅ΠΌΠΈ Π² ΠΈΠ·ΠΎΠ±ΡΠ°ΠΆΠ΅Π½ΠΈΡ Π² Docker Hub Β»; - Β«
Docker ΠΈ Kubernetes Π² ΡΡΠ΅Π΄ΠΈ, ΠΈΠ·ΠΈΡΠΊΠ²Π°ΡΠΈ ΡΠΈΠ³ΡΡΠ½ΠΎΡΡ Β»; - Β«
Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ CVE-2019-5736 Π² runc, ΠΊΠΎΡΡΠΎ Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° ΠΏΠΎΠ»ΡΡΠΈΡΠ΅ root ΠΏΡΠ°Π²Π° Π½Π° Ρ ΠΎΡΡΠ° Β»; - Β«
Vulnerable Docker VM - ΠΏΡΠ·Π΅Π» Π²ΠΈΡΡΡΠ°Π»Π½Π° ΠΌΠ°ΡΠΈΠ½Π° Π·Π° Docker ΠΈ pentesting ".
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: www.habr.com