risultati degli strumenti di test per identificare le vulnerabilità senza patch e identificare i problemi di sicurezza nelle immagini isolate del contenitore Docker. Dall'audit è emerso che 4 dei 6 scanner di immagini Docker conosciuti contenevano vulnerabilità critiche che consentivano di attaccare direttamente lo scanner stesso e di eseguire il suo codice sul sistema, in alcuni casi (ad esempio quando si utilizzava Snyk) con diritti di root.
Per attaccare, un utente malintenzionato deve semplicemente avviare un controllo del suo Dockerfile o manifest.json, che include metadati appositamente progettati, o inserire file Podfile e gradlew all'interno dell'immagine. Sfruttare i prototipi per sistemi
, ,
и
. Il pacchetto ha mostrato la migliore sicurezza , originariamente scritto pensando alla sicurezza. Non sono stati riscontrati problemi nemmeno nel pacchetto. . Di conseguenza, si è concluso che gli scanner dei container Docker dovrebbero essere eseguiti in ambienti isolati o utilizzati solo per controllare le proprie immagini e che si dovrebbe prestare attenzione quando si collegano tali strumenti a sistemi automatizzati di integrazione continua.
In FOSSA, Snyk e WhiteSource, la vulnerabilità era associata alla chiamata a un gestore di pacchetti esterno per determinare le dipendenze e consentiva di organizzare l'esecuzione del codice specificando i comandi touch e di sistema nei file и .
Anche Snyk e WhiteSource lo avevano fatto , con l'organizzazione dell'avvio dei comandi di sistema durante l'analisi del Dockerfile (ad esempio, in Snyk, tramite Dockefile, era possibile sostituire l'utilità /bin/ls richiamata dallo scanner, e in WhiteSurce era possibile sostituire il codice tramite argomenti in la forma “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Ancora vulnerabilità utilizzando l'utilità per lavorare con le immagini docker. L'operazione si riduce all'aggiunta di parametri come '"os": "$(touch hacked_anchore)"' al file manifest.json, che vengono sostituiti quando si chiama skopeo senza un corretto escape (solo i caratteri ";&<>" sono stati tagliati, ma la costruzione "$( )").
Lo stesso autore ha condotto uno studio sull'efficacia dell'identificazione delle vulnerabilità senza patch utilizzando gli scanner di sicurezza del contenitore Docker e sul livello di falsi positivi (, , ). Di seguito sono riportati i risultati del test di 73 immagini contenenti vulnerabilità note e viene valutata anche l'efficacia nel determinare la presenza di applicazioni tipiche nelle immagini (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Fonte: opennet.ru