resultados de ferramentas de teste para identificar vulnerabilidades não corrigidas e identificar problemas de segurança em imagens isoladas de contêiner do Docker. A auditoria mostrou que 4 em cada 6 scanners de imagem Docker conhecidos continham vulnerabilidades críticas que possibilitavam atacar diretamente o próprio scanner e conseguir a execução de seu código no sistema, em alguns casos (por exemplo, ao usar Snyk) com direitos de root.
Para atacar, um invasor simplesmente precisa iniciar uma verificação de seu Dockerfile ou manifest.json, que inclui metadados especialmente projetados, ou colocar arquivos Podfile e gradlew dentro da imagem. Explorar protótipos para sistemas
, ,
и
. O pacote apresentou a melhor segurança , originalmente escrito com a segurança em mente. Nenhum problema foi identificado no pacote também. . Como resultado, concluiu-se que os scanners de contêineres Docker devem ser executados em ambientes isolados ou utilizados apenas para verificar suas próprias imagens, e que deve-se ter cuidado ao conectar tais ferramentas a sistemas automatizados de integração contínua.
No FOSSA, Snyk e WhiteSource, a vulnerabilidade estava associada à chamada de um gerenciador de pacotes externo para determinar dependências e permitia organizar a execução do seu código especificando os comandos de toque e do sistema nos arquivos и .
Snyk e WhiteSource também tiveram , com a organização do lançamento de comandos do sistema ao analisar o Dockerfile (por exemplo, no Snyk, através do Dockefile, foi possível substituir o utilitário /bin/ls chamado pelo scanner, e no WhiteSurce foi possível substituir o código através de argumentos em o formato “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Vulnerabilidade âncora usando o utilitário para trabalhar com imagens do Docker. A operação se resumiu a adicionar parâmetros como '"os": "$(touch hacked_anchore)"' ao arquivo manifest.json, que são substituídos ao chamar o skopeo sem o escape adequado (apenas os caracteres ";&<>" foram cortados, mas a construção "$( )").
O mesmo autor conduziu um estudo sobre a eficácia da identificação de vulnerabilidades não corrigidas usando scanners de segurança de contêiner Docker e o nível de falsos positivos (, , ). Abaixo estão os resultados do teste de 73 imagens contendo vulnerabilidades conhecidas, e também avaliam a eficácia da determinação da presença de aplicativos típicos nas imagens (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Fonte: opennet.ru