Rezultatai iš testavimo įrankių, leidžiančių nustatyti nepataisytas pažeidžiamumą ir nustatyti saugos problemas izoliuotuose „Docker“ konteinerio vaizduose. Auditas parodė, kad 4 iš 6 žinomų „Docker“ vaizdo skaitytuvų turėjo kritinių spragų, kurios leido tiesiogiai atakuoti patį skaitytuvą ir pasiekti jo kodo vykdymą sistemoje, kai kuriais atvejais (pavyzdžiui, naudojant „Snyk“) su root teisėmis.
Norėdami atakuoti, užpuolikas turi tiesiog inicijuoti savo Dockerfile arba manifest.json, kuriame yra specialiai sukurti metaduomenys, patikrinimą arba vaizdo viduje patalpinti Podfile ir gradlew failus. Išnaudokite prototipus sistemoms
, ,
и
. Paketas parodė geriausią saugumą , iš pradžių parašyta turint omenyje saugumą. Pakuotėje taip pat nebuvo nustatyta jokių problemų. . Dėl to buvo padaryta išvada, kad „Docker“ konteinerių skaitytuvai turėtų būti naudojami izoliuotoje aplinkoje arba naudojami tik savo vaizdams tikrinti, o tokius įrankius jungiant prie automatizuotų nuolatinio integravimo sistemų reikia būti atsargiems.
„FOSSA“, „Snyk“ ir „WhiteSource“ pažeidžiamumas buvo susijęs su išorinio paketų tvarkyklės iškvietimu, siekiant nustatyti priklausomybes, ir leido organizuoti kodo vykdymą, failuose nurodant jutiklines ir sistemos komandas. и .
Snyk ir WhiteSource papildomai turėjo , su sistemos paleidimo komandų organizavimu analizuojant Dockerfile (pavyzdžiui, Snyk, per Dockefile, buvo galima pakeisti skaitytuvo iškviestą /bin/ls įrankį, o WhiteSurce buvo galima pakeisti kodą naudojant argumentus forma "echo ';touch /tmp/hacked_whitesource_pip;=1.0").
Inkaro pažeidžiamumas naudojant naudingumą darbui su docker vaizdais. Operacija apsiribojo tokių parametrų kaip „os“: „$(touch hacked_anchore)““ įtraukimas į manifest.json failą, kurie pakeičiami iškviečiant skopeo be tinkamo pabėgimo (iškirpti tik „;&<>“ simboliai, bet konstrukcija „$( )“).
Tas pats autorius atliko nepataisytų pažeidžiamumų, naudojant „Docker“ konteinerių saugos skaitytuvus, ir klaidingų teigiamų rezultatų lygio nustatymo veiksmingumo tyrimą (, , ). Toliau pateikiami 73 vaizdų, kuriuose yra žinomų pažeidžiamumų, testavimo rezultatai, taip pat įvertinamas tipinių programų (nginx, tomcat, haproxy, gunicorn, redis, ruby, node) nustatymo efektyvumas.
Šaltinis: opennet.ru
