resultats d'eines de prova per identificar vulnerabilitats sense pegats i identificar problemes de seguretat en imatges aïllades de contenidors Docker. L'auditoria va mostrar que 4 de cada 6 escàners d'imatges de Docker coneguts contenien vulnerabilitats crítiques que permetien atacar directament el propi escàner i aconseguir l'execució del seu codi al sistema, en alguns casos (per exemple, quan s'utilitza Snyk) amb drets d'arrel.
Per atacar, un atacant només ha d'iniciar una comprovació del seu Dockerfile o manifest.json, que inclou metadades especialment dissenyades, o col·locar fitxers Podfile i gradlew dins de la imatge. Explotar prototips per a sistemes
, ,
и
. El paquet mostrava la millor seguretat , escrit originalment pensant en la seguretat. Tampoc s'han identificat problemes al paquet. . Com a resultat, es va concloure que els escàners de contenidors Docker s'havien d'executar en entorns aïllats o utilitzar-los només per comprovar les seves pròpies imatges, i que s'hauria de tenir precaució quan es connecten aquestes eines a sistemes automatitzats d'integració contínua.
A FOSSA, Snyk i WhiteSource, la vulnerabilitat es va associar amb la trucada a un gestor de paquets extern per determinar dependències i us permetia organitzar l'execució del vostre codi especificant les ordres tàctils i del sistema als fitxers. и .
Snyk i WhiteSource també tenien , amb l'organització de llançar ordres del sistema en analitzar el Dockerfile (per exemple, a Snyk, a través de Dockefile, era possible substituir la utilitat /bin/ls cridada per l'escàner, i a WhiteSurce, era possible substituir el codi mitjançant arguments a la forma "eco ';toqueu /tmp/hacked_whitesource_pip;=1.0 "").
Vulnerabilitat de l'ancoratge utilitzant la utilitat per treballar amb imatges Docker. L'operació es va reduir a afegir paràmetres com '"os": "$(touch hacked_anchore)"' al fitxer manifest.json, que es substitueixen quan es crida a skopeo sense l'escapada adequada (només es van tallar els caràcters ";&<>", però la construcció "$( )").
El mateix autor va realitzar un estudi sobre l'efectivitat de la identificació de vulnerabilitats sense pegats mitjançant escàners de seguretat de contenidors Docker i el nivell de falsos positius (, , ). A continuació es mostren els resultats de les proves de 73 imatges que contenen vulnerabilitats conegudes i també s'avaluen l'eficàcia de determinar la presència d'aplicacions típiques a les imatges (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Font: opennet.ru