Ergebnisse von Testtools zur Identifizierung ungepatchter Schwachstellen und zur Identifizierung von Sicherheitsproblemen in isolierten Docker-Container-Images. Die Prüfung ergab, dass 4 von 6 bekannten Docker-Bildscannern kritische Schwachstellen enthielten, die es ermöglichten, den Scanner selbst direkt anzugreifen und die Ausführung seines Codes auf dem System zu erreichen, in einigen Fällen (z. B. bei Verwendung von Snyk) mit Root-Rechten.
Um anzugreifen, muss ein Angreifer lediglich eine Überprüfung seiner Docker-Datei oder manifest.json einleiten, die speziell entwickelte Metadaten enthält, oder Podfile- und Gradlew-Dateien im Image platzieren. Nutzen Sie Prototypen für Systeme
, ,
и
. Das Paket zeigte die beste Sicherheit , ursprünglich mit Blick auf die Sicherheit geschrieben. Auch im Paket wurden keine Probleme festgestellt. . Infolgedessen wurde der Schluss gezogen, dass Docker-Containerscanner in isolierten Umgebungen ausgeführt oder nur zur Überprüfung ihrer eigenen Images verwendet werden sollten und dass bei der Verbindung solcher Tools mit automatisierten kontinuierlichen Integrationssystemen Vorsicht geboten ist.
In FOSSA, Snyk und WhiteSource war die Schwachstelle mit dem Aufruf eines externen Paketmanagers verbunden, um Abhängigkeiten zu ermitteln, und ermöglichte es Ihnen, die Ausführung Ihres Codes durch die Angabe der Touch- und Systembefehle in Dateien zu organisieren и .
Snyk und WhiteSource hatten zusätzlich , mit der Organisation des Startens von Systembefehlen beim Parsen der Docker-Datei (z. B. war es in Snyk durch Dockefile möglich, das vom Scanner aufgerufene Dienstprogramm /bin/ls zu ersetzen, und in WhiteSurce war es möglich, Code durch Argumente in zu ersetzen die Form „echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Anchore-Schwachstelle Verwenden des Dienstprogramms für die Arbeit mit Docker-Images. Der Vorgang beschränkte sich auf das Hinzufügen von Parametern wie „os“: „$(touch hacked_anchore)“ zur Datei manifest.json, die beim Aufruf von skopeo ohne ordnungsgemäße Escapezeichen ersetzt werden (nur die „;&<>“-Zeichen wurden entfernt, sondern die Konstruktion „$( )“).
Derselbe Autor führte eine Studie zur Wirksamkeit der Identifizierung ungepatchter Schwachstellen mithilfe von Docker-Container-Sicherheitsscannern und zum Ausmaß falsch positiver Ergebnisse durch (, , ). Nachfolgend finden Sie die Ergebnisse des Tests von 73 Bildern mit bekannten Schwachstellen sowie eine Bewertung der Wirksamkeit der Bestimmung des Vorhandenseins typischer Anwendungen in Bildern (Nginx, Tomcat, Haproxy, Gunicorn, Redis, Ruby, Node).
Source: opennet.ru