kết quả từ các công cụ kiểm tra để xác định các lỗ hổng chưa được vá và xác định các vấn đề bảo mật trong các hình ảnh vùng chứa Docker bị cô lập. Quá trình kiểm tra cho thấy 4 trong số 6 máy quét hình ảnh Docker đã biết có chứa các lỗ hổng nghiêm trọng khiến nó có thể tấn công trực tiếp vào chính máy quét và thực thi mã của nó trên hệ thống, trong một số trường hợp (ví dụ: khi sử dụng Snyk) với quyền root.
Để tấn công, kẻ tấn công chỉ cần bắt đầu kiểm tra Dockerfile hoặc tệp kê khai.json, bao gồm siêu dữ liệu được thiết kế đặc biệt hoặc đặt các tệp Podfile và gradlew bên trong hình ảnh. Khai thác nguyên mẫu cho hệ thống
, ,
и
. Gói hàng cho thấy sự bảo mật tốt nhất , ban đầu được viết với mục đích bảo mật. Không có vấn đề nào được xác định trong gói. . Do đó, người ta kết luận rằng máy quét vùng chứa Docker nên được chạy trong môi trường biệt lập hoặc chỉ được sử dụng để kiểm tra hình ảnh của chính chúng và cần thận trọng khi kết nối các công cụ đó với hệ thống tích hợp liên tục tự động.
Trong FOSSA, Snyk và WhiteSource, lỗ hổng này liên quan đến việc gọi trình quản lý gói bên ngoài để xác định các phần phụ thuộc và cho phép bạn tổ chức thực thi mã bằng cách chỉ định các lệnh cảm ứng và hệ thống trong tệp и .
Snyk và WhiteSource cũng có , với việc tổ chức khởi chạy các lệnh hệ thống khi phân tích Dockerfile (ví dụ: trong Snyk, thông qua Dockefile, có thể thay thế tiện ích /bin/ls được máy quét gọi và trong WhiteSurce, có thể thay thế mã thông qua các đối số trong dạng “echo ';touch /tmp/hacked_whitesource_pip;=1.0 ′").
Lỗ hổng neo sử dụng tiện ích để làm việc với hình ảnh docker. Thao tác được rút gọn thành việc thêm các tham số như '"os": "$(touch hacked_anchore)"' vào tệp kê khai.json, được thay thế khi gọi skopeo mà không có lối thoát thích hợp (chỉ các ký tự ";&<>" bị cắt bỏ, nhưng cấu trúc "$( )").
Cùng tác giả đã thực hiện một nghiên cứu về tính hiệu quả của việc xác định các lỗ hổng chưa được vá bằng máy quét bảo mật vùng chứa Docker và mức độ dương tính giả (, , ). Dưới đây là kết quả kiểm tra 73 hình ảnh chứa các lỗ hổng đã biết, đồng thời đánh giá hiệu quả của việc xác định sự hiện diện của các ứng dụng điển hình trong hình ảnh (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).
Nguồn: opennet.ru