Docker 컨테이너 이미지용 보안 스캐너의 취약점

게시됨 패치되지 않은 취약점을 식별하고 격리된 Docker 컨테이너 이미지의 보안 문제를 식별하기 위한 테스트 도구의 결과입니다. 검사 결과, 알려진 Docker 이미지 스캐너 4개 중 6개에는 스캐너 자체를 직접 공격하고 일부 경우(예: Snyk를 사용하는 경우) 루트 권한으로 시스템에서 해당 코드를 실행할 수 있는 심각한 취약점이 포함되어 있는 것으로 나타났습니다.

공격하려면 공격자는 특별히 설계된 메타데이터가 포함된 Dockerfile 또는 매니페스트.json 검사를 시작하거나 Podfile 및 gradlew 파일을 이미지 내에 배치하기만 하면 됩니다. 프로토타입 활용 준비에 성공했다 시스템용
화이트 소스, 스 니크,
와 и
앵커. 패키지는 최고의 보안을 보여주었습니다 명확한, 원래 보안을 염두에 두고 작성되었습니다. 패키지에서도 문제가 확인되지 않았습니다. 사소한. 결과적으로 Docker 컨테이너 스캐너는 격리된 환경에서 실행되거나 자체 이미지를 확인하는 데에만 사용해야 하며 이러한 도구를 자동화된 지속적 통합 시스템에 연결할 때는 주의가 필요하다는 결론이 나왔습니다.

FOSSA, Snyk 및 WhiteSource에서 이 취약점은 종속성을 확인하기 위해 외부 패키지 관리자를 호출하는 것과 관련되어 있으며 파일에 터치 및 시스템 명령을 지정하여 코드 실행을 구성할 수 있었습니다. 그래들루 и 포드파일.

Snyk와 WhiteSource도 추가로 녹이다 취약점, 관련된 Dockerfile을 구문 분석할 때 시스템 명령을 실행하는 구성으로(예를 들어 Snyk에서는 Dockefile을 통해 스캐너가 호출하는 /bin/ls 유틸리티를 대체할 수 있었고 WhiteSurce에서는 다음의 인수를 통해 코드를 대체할 수 있었습니다) "echo ';touch /tmp/hacked_whitesource_pip;=1.0 '" 형식).

앵커 취약점 불려졌다 유틸리티를 사용하여 Skopeo 도커 이미지 작업을 위한 것입니다. 작업은 '"os": "$(touch hacked_anchore)"'와 같은 매개변수를 매니페스트.json 파일에 추가하는 것으로 요약됩니다. 이 매개변수는 적절한 이스케이프 없이 skopeo를 호출할 때 대체됩니다(";&<>" 문자만 잘림, 그러나 "$( )" 구성).

같은 저자는 Docker 컨테이너 보안 스캐너를 사용하여 패치되지 않은 취약점을 식별하는 효과와 오탐 수준에 대한 연구를 수행했습니다(일부 1, 일부 2, 일부 3). 다음은 알려진 취약점이 포함된 73개의 이미지를 테스트한 결과이며, 이미지에 일반적인 애플리케이션(nginx, tomcat, haproxy, gunicorn, redis, ruby, node)이 있는지 확인하는 효율성도 평가합니다.

출처 : opennet.ru