ProHoster > وبلاگ > اخبار اینترنتی > آسیب پذیری در اسکنرهای امنیتی برای تصاویر کانتینر Docker

آسیب پذیری در اسکنرهای امنیتی برای تصاویر کانتینر Docker

منتشر شده نتایج حاصل از ابزارهای آزمایشی برای شناسایی آسیب پذیری های اصلاح نشده و شناسایی مسائل امنیتی در تصاویر کانتینر ایزوله Docker. ممیزی نشان داد که 4 مورد از 6 اسکنر تصویر داکر شناخته شده حاوی آسیب‌پذیری‌های حیاتی هستند که امکان حمله مستقیم به خود اسکنر و اجرای کد آن بر روی سیستم را در برخی موارد (مثلاً هنگام استفاده از Snyk) با حقوق ریشه ممکن می‌سازد.

برای حمله، مهاجم به سادگی نیاز دارد تا Dockerfile یا manifest.json خود را بررسی کند، که شامل متادیتاهای طراحی شده ویژه است، یا فایل‌های Podfile و gradlew را درون تصویر قرار دهد. بهره برداری از نمونه های اولیه موفق به آماده سازی شد برای سیستم ها
منبع سفید, اسنیک,
فسا и
لنگر. بسته بهترین امنیت را نشان داد واضح، در اصل با در نظر گرفتن امنیت نوشته شده است. هیچ مشکلی نیز در بسته مشخص نشد. بی اهمیت. در نتیجه، به این نتیجه رسیدیم که اسکنرهای کانتینر Docker باید در محیط‌های ایزوله اجرا شوند یا فقط برای بررسی تصاویر خود استفاده شوند، و هنگام اتصال چنین ابزارهایی به سیستم‌های یکپارچه خودکار پیوسته باید احتیاط کرد.

در FOSSA، Snyk و WhiteSource، این آسیب‌پذیری با فراخوانی یک مدیر بسته خارجی برای تعیین وابستگی‌ها مرتبط بود و به شما این امکان را می‌داد که اجرای کد خود را با مشخص کردن فرمان‌های لمسی و سیستم در فایل‌ها سازماندهی کنید. gradlew и پادفایل.

Snyk و WhiteSource علاوه بر این، داشتند پیدا شد آسیب پذیری ها, مربوط با سازماندهی راه اندازی دستورات سیستم هنگام تجزیه Dockerfile (به عنوان مثال، در Snyk، از طریق Dockfile، امکان جایگزینی ابزار /bin/ls که توسط اسکنر فراخوانی می شود، وجود داشت، و در WhiteSurce، امکان جایگزینی کد از طریق آرگومان ها در فرم "echo ';/tmp/hacked_whitesource_pip;=1.0" را لمس کنید).

آسیب پذیری لنگر نامیده می شد با استفاده از ابزار اسکوپئو برای کار با تصاویر داکر عملیات به افزودن پارامترهایی مانند "os" خلاصه شد: "$(touch hacked_anchore)"" به فایل manifest.json، که هنگام فراخوانی skopeo بدون فرار مناسب جایگزین می‌شوند (فقط کاراکترهای ";&<>" قطع می‌شوند، اما ساخت "$( )").

همین نویسنده مطالعه ای در مورد اثربخشی شناسایی آسیب پذیری های اصلاح نشده با استفاده از اسکنرهای امنیتی کانتینر Docker و سطح مثبت کاذب انجام داد.قسمت 1, قسمت 2, قسمت 3). در زیر نتایج آزمایش 73 تصویر حاوی آسیب‌پذیری‌های شناخته‌شده، و همچنین ارزیابی اثربخشی تعیین وجود برنامه‌های کاربردی معمولی در تصاویر (nginx، تامکت، هاپروکسی، گانیکورن، ردیس، روبی، گره) است.

آسیب پذیری در اسکنرهای امنیتی برای تصاویر کانتینر Docker

آسیب پذیری در اسکنرهای امنیتی برای تصاویر کانتینر Docker

منبع: opennet.ru

اضافه کردن نظر