أصبح معروفًا مؤخرًا من خلال مشاركة مدونة ، نتائج أدوات الاختبار لتحديد نقاط الضعف لا يوجد تصحيح وتحديد القضايا الأمنية في صور حاوية Docker المعزولة.
أظهر الاختبار أن 4 من أصل 6 ماسحات ضوئية صور Docker المعروفة لديه نقاط ضعف حرجة الذي سمح بمهاجمة الماسح نفسه وتشغيل الكود الخاص به على النظام ، في بعض الحالات (باستخدام Snyk على سبيل المثال) بامتيازات الجذر.
للهجوم ، يحتاج المهاجم فقط إلى البدء في فحص ملف Dockerfile الخاص به أو manifest.json ، والذي يتضمن البيانات الوصفية المنسقة بشكل خاص ، أو ضع ملفات Podfile و gradlew داخل الصورة.
نجحنا في إعداد نماذج الاستغلال لأنظمة WhiteSource و Snyk و Fossa و Anchore.
باكيت كلير، كتبت في الأصل مع مراعاة السلامة ، أظهر أفضل أمان.
لم يتم تحديد أي مشاكل في حزمة Trivy ونتيجة لذلك ، تم التوصل إلى أن الماسحات الضوئية لحاويات Docker يجب تشغيلها في بيئات معزولة أو استخدامها فقط للتحقق من الصور الخاصة بها ، وكذلك توخي الحذر عند توصيل هذه الأدوات بأنظمة التكامل المستمر الآلي.
تقوم هذه الماسحات الضوئية بأشياء معقدة وعرضة للخطأ. إنهم يتعاملون مع عامل الإرساء ، أو استخراج الطبقات / الملفات ، أو التفاعل مع مديري الحزم ، أو تحليل التنسيقات المختلفة. من الصعب للغاية الدفاع عنها ، أثناء محاولة استيعاب جميع حالات الاستخدام للمطورين. دعونا نرى كيف تحاول الأدوات المختلفة وتديرها:
تعكس درجة الإفصاح المسؤول رأيي الشخصي: أعتقد أنه من المهم لموردي البرامج أن يتقبلوا المشكلات الأمنية التي يتم إبلاغهم بها ، وأن يكونوا صادقين وشفافين بشأن نقاط الضعف ، للتأكد من أن الأشخاص الذين يستخدمون منتجاتهم على النحو الواجب لاتخاذ قرارات بشأن التحديث. يتضمن هذا أهم المعلومات التي تشير إلى أن التحديث يحتوي على تغييرات متعلقة بالأمان ، وفتح CVE لتتبع المشكلة والتواصل بشأنها ، وربما إخطار عملائك. أعتقد أنه من المعقول بشكل خاص افتراض ما إذا كان المنتج يتعلق بمكافحة التطرف العنيف ، وتوفير معلومات حول نقاط الضعف في البرنامج. كما أنني مطمئن إلى الاستجابة السريعة وأوقات التصحيح المعقولة والتواصل المفتوح مع الشخص الذي أبلغ عن الهجوم.
في FOSSA و Snyk و WhiteSource ، كانت الثغرة مرتبطة مع الاتصال لمدير حزمة خارجي لتحديد التبعيات والسماح لك بتنظيم تنفيذ التعليمات البرمجية الخاصة بك عن طريق تحديد أوامر اللمس والنظام في ملفات gradlew و Podfile.
En اكتشف Snyk و WhiteSource أيضًا ثغرة أمنية مرتبطة بأوامر نظام التشغيل المؤسسة التي قامت بتحليل Dockerfile (على سبيل المثال ، في Snyk عبر Dockefile ، يمكنك استبدال الأداة المساعدة ls (/ bin / ls) ، الناتجة عن الماسح وفي WhiteSurce يمكنك استبدال الشفرة من خلال الوسائط في شكل "echo" ؛ انقر فوق /tmp/hacked_whitesource_pip؛=1.0 '«).
في Anchore ، نتجت الثغرة الأمنية عن استخدام الأداة المساعدة skopeo للعمل مع صور عامل ميناء. تم اختصار العملية إلى إضافة معلمات من النموذج '»os»: «$ (touch hacked_anchore)»' إلى ملف manifest.json ، والتي يتم استبدالها عند استدعاء skopeo بدون هروب مناسب (تمت إزالة الأحرف فقط «؛ & < > "، لكن البناء" $ () ").
أجرى المؤلف نفسه دراسة حول فعالية الكشف عن الثغرات الأمنية غير مصححة عبر الماسحات الضوئية الأمنية حاويات الرصيف ومستوى الإيجابيات الزائفة.
بجانب المؤلف يجادل بأن العديد من هذه الأدوات استخدام مديري الحزم مباشرة لحل التبعيات. هذا يجعل من الصعب بشكل خاص الدفاع عنها. بعض مديري التبعية لديهم ملفات تكوين تسمح بتضمين كود القشرة.
حتى لو تم التعامل مع هذه الطرق البسيطة بطريقة ما ، فإن استدعاء مديري الحزم هؤلاء سيعني حتما صرف الأموال. هذا ، بعبارة ملطفة ، لا يسهل الدفاع عن التطبيق.
نتائج اختبار 73 صورة تحتوي على نقاط ضعف معروف ، بالإضافة إلى تقييم الفعالية لتحديد وجود تطبيقات نموذجية في الصور (nginx ، tomcat ، haproxy ، gunicorn ، redis ، ruby ، node) ، يمكن استشارتهم داخل المنشور في الرابط التالي.