آسیب پذیری در اسکنرهای امنیتی برای تصاویر کانتینر Docker
منتشر شده نتایج حاصل از ابزارهای آزمایشی برای شناسایی آسیب پذیری های اصلاح نشده و شناسایی مسائل امنیتی در تصاویر کانتینر ایزوله Docker. ممیزی نشان داد که 4 مورد از 6 اسکنر تصویر داکر شناخته شده حاوی آسیبپذیریهای حیاتی هستند که امکان حمله مستقیم به خود اسکنر و اجرای کد آن بر روی سیستم را در برخی موارد (مثلاً هنگام استفاده از Snyk) با حقوق ریشه ممکن میسازد.
برای حمله، مهاجم به سادگی نیاز دارد تا Dockerfile یا manifest.json خود را بررسی کند، که شامل متادیتاهای طراحی شده ویژه است، یا فایلهای Podfile و gradlew را درون تصویر قرار دهد. بهره برداری از نمونه های اولیه موفق به آماده سازی شد برای سیستم ها منبع سفید, اسنیک, فسا и لنگر. بسته بهترین امنیت را نشان داد واضح، در اصل با در نظر گرفتن امنیت نوشته شده است. هیچ مشکلی نیز در بسته مشخص نشد. بی اهمیت. در نتیجه، به این نتیجه رسیدیم که اسکنرهای کانتینر Docker باید در محیطهای ایزوله اجرا شوند یا فقط برای بررسی تصاویر خود استفاده شوند، و هنگام اتصال چنین ابزارهایی به سیستمهای یکپارچه خودکار پیوسته باید احتیاط کرد.
در FOSSA، Snyk و WhiteSource، این آسیبپذیری با فراخوانی یک مدیر بسته خارجی برای تعیین وابستگیها مرتبط بود و به شما این امکان را میداد که اجرای کد خود را با مشخص کردن فرمانهای لمسی و سیستم در فایلها سازماندهی کنید. gradlew и پادفایل.
Snyk و WhiteSource علاوه بر این، داشتند پیدا شدآسیب پذیری ها, مربوط با سازماندهی راه اندازی دستورات سیستم هنگام تجزیه Dockerfile (به عنوان مثال، در Snyk، از طریق Dockfile، امکان جایگزینی ابزار /bin/ls که توسط اسکنر فراخوانی می شود، وجود داشت، و در WhiteSurce، امکان جایگزینی کد از طریق آرگومان ها در فرم "echo ';/tmp/hacked_whitesource_pip;=1.0" را لمس کنید).
آسیب پذیری لنگر نامیده می شد با استفاده از ابزار اسکوپئو برای کار با تصاویر داکر عملیات به افزودن پارامترهایی مانند "os" خلاصه شد: "$(touch hacked_anchore)"" به فایل manifest.json، که هنگام فراخوانی skopeo بدون فرار مناسب جایگزین میشوند (فقط کاراکترهای ";&<>" قطع میشوند، اما ساخت "$( )").
همین نویسنده مطالعه ای در مورد اثربخشی شناسایی آسیب پذیری های اصلاح نشده با استفاده از اسکنرهای امنیتی کانتینر Docker و سطح مثبت کاذب انجام داد.قسمت 1, قسمت 2, قسمت 3). در زیر نتایج آزمایش 73 تصویر حاوی آسیبپذیریهای شناختهشده، و همچنین ارزیابی اثربخشی تعیین وجود برنامههای کاربردی معمولی در تصاویر (nginx، تامکت، هاپروکسی، گانیکورن، ردیس، روبی، گره) است.