Уязвимости в скенерите за сигурност за Docker контейнерни изображения

Публикувано резултати от инструменти за тестване за идентифициране на непоправени уязвимости и идентифициране на проблеми със сигурността в изолирани изображения на Docker контейнер. Одитът показа, че 4 от 6 известни Docker скенери за изображения съдържат критични уязвимости, които правят възможно директното атакуване на самия скенер и постигане на изпълнение на неговия код в системата, в някои случаи (например при използване на Snyk) с root права.

За да атакува, атакуващият просто трябва да инициира проверка на своя Dockerfile или manifest.json, който включва специално проектирани метаданни, или да постави Podfile и gradlew файлове в изображението. Експлоатирайте прототипи успя да подготви за системи
WhiteSource, Сник,
кухина и
Котва. Пакетът показа най-добрата сигурност Clair, първоначално написан с оглед на сигурността. В пакета също не бяха установени проблеми. Дребнав. В резултат на това беше направено заключението, че контейнерните скенери на Docker трябва да се изпълняват в изолирани среди или да се използват само за проверка на техните собствени изображения и че трябва да се внимава при свързването на такива инструменти към автоматизирани системи за непрекъсната интеграция.

Във FOSSA, Snyk и WhiteSource уязвимостта беше свързана с извикване на външен мениджър на пакети за определяне на зависимости и ви позволи да организирате изпълнението на вашия код, като посочите сензорните и системните команди във файлове gradlew и Подфайл.

Snyk и WhiteSource допълнително имаха намерен уязвимости, свързани с организацията на стартиране на системни команди при анализиране на Dockerfile (например в Snyk, чрез Dockefile, беше възможно да се замени помощната програма /bin/ls, извикана от скенера, а в WhiteSurce беше възможно да се замени код чрез аргументи в формата „ехо ';докоснете /tmp/hacked_whitesource_pip;=1.0 ′").

Уязвимост на котва беше повикан с помощта на помощната програма скопео за работа с докер изображения. Операцията се свежда до добавяне на параметри като '"os": "$(touch hacked_anchore)"' към файла manifest.json, които се заместват при извикване на skopeo без правилно екраниране (само символите ";&<>" бяха изрязани, но конструкцията "$( )").

Същият автор проведе проучване на ефективността на идентифициране на непоправени уязвимости с помощта на скенери за сигурност на контейнера на Docker и нивото на фалшиви положителни резултати (част 1, част 2, част 3). По-долу са резултатите от тестване на 73 изображения, съдържащи известни уязвимости, както и оценка на ефективността на определяне на наличието на типични приложения в изображения (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).

Източник: opennet.ru