resultados de ferramentas de proba para identificar vulnerabilidades sen parches e identificar problemas de seguridade en imaxes illadas de contedores Docker. A auditoría mostrou que 4 de cada 6 escáneres de imaxes de Docker coñecidos contiñan vulnerabilidades críticas que permitían atacar directamente o propio escáner e lograr a execución do seu código no sistema, nalgúns casos (por exemplo, cando se usaba Snyk) con dereitos de root.
Para atacar, un atacante simplemente ten que iniciar unha comprobación do seu Dockerfile ou manifest.json, que inclúe metadatos especialmente deseñados, ou colocar ficheiros Podfile e gradlew dentro da imaxe. Explotar prototipos para sistemas
, ,
и
. O paquete mostrou a mellor seguridade , escrito orixinalmente coa seguridade. Tampouco se identificaron problemas no paquete. . Como resultado, concluíuse que os escáneres de contedores Docker deberían executarse en ambientes illados ou utilizarse só para comprobar as súas propias imaxes, e que se debe ter precaución ao conectar estas ferramentas a sistemas automatizados de integración continua.
En FOSSA, Snyk e WhiteSource, a vulnerabilidade asociouse coa chamada a un xestor de paquetes externo para determinar as dependencias e permitiulle organizar a execución do seu código especificando os comandos táctiles e do sistema nos ficheiros. и .
Snyk e WhiteSource tamén tiñan , coa organización do lanzamento de comandos do sistema ao analizar un Dockerfile (por exemplo, en Snyk, a través de Dockefile, era posible substituír a utilidade /bin/ls chamada polo escáner, e en WhiteSurce, era posible substituír o código mediante argumentos en a forma "echo ';toque /tmp/hacked_whitesource_pip;=1.0 "").
Vulnerabilidade de ancoraxe usando a utilidade para traballar con imaxes docker. A operación reduciuse a engadir parámetros como '"os": "$(touch hacked_anchore)"' ao ficheiro manifest.json, que se substitúen ao chamar a skopeo sen un escape adecuado (só se recortaron os caracteres ";&<>", senón a construción "$( )").
O mesmo autor realizou un estudo sobre a eficacia da identificación de vulnerabilidades sen parches mediante escáneres de seguranza de contedores Docker e o nivel de falsos positivos (, , ). A continuación móstranse os resultados das probas de 73 imaxes que conteñen vulnerabilidades coñecidas e tamén se avalía a eficacia de determinar a presenza de aplicacións típicas nas imaxes (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Fonte: opennet.ru
