výsledky z testovacích nástrojů k identifikaci neopravených zranitelností a identifikaci bezpečnostních problémů v izolovaných obrazech kontejnerů Docker. Audit ukázal, že 4 ze 6 známých obrazových skenerů Docker obsahovaly kritické zranitelnosti, které umožňovaly přímo napadnout samotný skener a dosáhnout spuštění jeho kódu v systému, v některých případech (například při použití Snyk) s právy root.
K útoku musí útočník jednoduše zahájit kontrolu svého souboru Dockerfile nebo manifest.json, který obsahuje speciálně navržená metadata, nebo umístit soubory Podfile a gradlew do obrazu. Využití prototypů pro systémy
, ,
и
. Balíček vykazoval nejlepší zabezpečení , původně napsán s ohledem na bezpečnost. Ani v balení nebyly zjištěny žádné problémy. . V důsledku toho se dospělo k závěru, že kontejnerové skenery Docker by měly být provozovány v izolovaných prostředích nebo by měly být používány pouze ke kontrole vlastních obrázků a že při připojování takových nástrojů k automatizovaným systémům průběžné integrace je třeba postupovat opatrně.
Ve FOSSA, Snyk a WhiteSource byla zranitelnost spojena s voláním externího správce balíčků za účelem zjištění závislostí a umožnila vám organizovat provádění vašeho kódu zadáním dotykových a systémových příkazů v souborech. и .
Snyk a WhiteSource navíc měli , s organizací spouštění systémových příkazů při parsování Dockerfile (například v Snyku bylo prostřednictvím Dockefile možné nahradit utilitu /bin/ls volanou skenerem a ve WhiteSurce bylo možné nahradit kód pomocí argumentů v ve tvaru „echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′“).
Zranitelnost ukotvení pomocí utility pro práci s obrázky dockeru. Operace se scvrkla na přidání parametrů jako '"os": "$(touch hacked_anchore)"' do souboru manifest.json, které jsou nahrazeny při volání skopeo bez řádného escapování (byly vyříznuty pouze znaky ";&<>", ale konstrukce "$( )").
Stejný autor provedl studii účinnosti identifikace neopravených zranitelností pomocí bezpečnostních skenerů kontejnerů Docker a úrovně falešných poplachů (, , ). Níže jsou uvedeny výsledky testování 73 obrázků obsahujících známé zranitelnosti a také vyhodnocení účinnosti určení přítomnosti typických aplikací v obrázcích (nginx, kocour, haproxy, gunicorn, redis, ruby, node).
Zdroj: opennet.ru