Πρόσφατα έγινε γνωστό μέσω μια ανάρτηση ιστολογίου, τα αποτελέσματα των εργαλείων δοκιμών για τον εντοπισμό τρωτών σημείων χωρίς ενημέρωση κώδικα και εντοπισμός ζητημάτων ασφαλείας σε απομονωμένες εικόνες κοντέινερ Docker.
Η δοκιμή έδειξε ότι 4 από τους 6 σαρωτές γνωστές εικόνες Docker είχε κρίσιμα τρωτά σημεία που επέτρεψε να επιτεθεί στον ίδιο τον σαρωτή και να εκτελέσει τον κωδικό του στο σύστημα, σε ορισμένες περιπτώσεις (χρησιμοποιώντας το Snyk για παράδειγμα) με δικαιώματα root.
Για επίθεση, ένας εισβολέας πρέπει απλά να αρχίσει να ελέγχει το Dockerfile ή manifest.json, το οποίο περιλαμβάνει ειδικά μορφοποιημένα μεταδεδομένα, ή τοποθετήστε τα αρχεία Podfile και gradlew μέσα στην εικόνα.
Καταφέρνουμε να προετοιμάσουμε πρωτότυπα εκμετάλλευσης για συστήματα WhiteSource, Snyk, Fossa και anchore.
El paquete Clair αρχικά γράφτηκε με γνώμονα την ασφάλεια, έδειξε την καλύτερη ασφάλεια.
Δεν εντοπίστηκαν προβλήματα στο πακέτο Trivy Ως αποτέλεσμα, συνήχθη το συμπέρασμα ότι οι σαρωτές κοντέινερ Docker πρέπει να εκτελούνται σε απομονωμένα περιβάλλοντα ή να χρησιμοποιούνται μόνο για την επαλήθευση των δικών τους εικόνων και επίσης να είναι προσεκτικοί όταν συνδέετε τέτοια εργαλεία σε αυτοματοποιημένα συστήματα συνεχούς ολοκλήρωσης.
Αυτοί οι σαρωτές κάνουν περίπλοκα και επιρρεπή σε λάθη πράγματα. Αντιμετωπίζουν το docker, εξάγουν επίπεδα / αρχεία, αλληλεπιδρούν με διαχειριστές πακέτων ή αναλύουν διαφορετικές μορφές. Η υπεράσπισή τους, ενώ προσπαθεί να καλύψει όλες τις περιπτώσεις χρήσης για προγραμματιστές, είναι πολύ δύσκολη. Ας δούμε πώς τα διάφορα εργαλεία προσπαθούν και καταφέρνουν να το κάνουν:
Η βαθμολογία υπεύθυνης αποκάλυψης αντικατοπτρίζει την προσωπική μου γνώμη: Νομίζω ότι είναι σημαντικό για τους πωλητές λογισμικού να είναι δεκτικοί σε ζητήματα ασφαλείας που τους έχουν αναφερθεί, να είναι ειλικρινείς και διαφανείς σχετικά με τις ευπάθειες, να διασφαλίσουν ότι τα άτομα που χρησιμοποιούν τα προϊόντα τους ενημερώνονται σωστά για τη λήψη αποφάσεων σχετικά με την ενημέρωση. Αυτό περιλαμβάνει τις πιο σημαντικές πληροφορίες ότι μια ενημέρωση έχει αλλαγές σχετικές με την ασφάλεια, ανοίγοντας ένα CVE για παρακολούθηση και επικοινωνία σχετικά με το πρόβλημα και ενδεχομένως να ειδοποιεί τους πελάτες σας. Νομίζω ότι αυτό είναι ιδιαίτερα λογικό να υποθέσουμε εάν το προϊόν αφορά CVE, παρέχοντας πληροφορίες σχετικά με τις ευπάθειες στο λογισμικό. Επίσης, με καθησυχάζει η γρήγορη απόκριση, οι λογικοί χρόνοι διόρθωσης και η ανοιχτή επικοινωνία με το άτομο που αναφέρει την επίθεση.
Στα FOSSA, Snyk και WhiteSource, η ευπάθεια σχετίζεται με κλήση σε εξωτερικό διαχειριστή πακέτων για να προσδιορίσετε τις εξαρτήσεις και να σας επιτρέψουμε να οργανώσετε την εκτέλεση του κώδικα σας καθορίζοντας εντολές αφής και συστήματος στα αρχεία gradlew και Podfile.
En Οι Snyk και WhiteSource βρήκαν επίσης μια ευπάθεια, που σχετίζεται με τις εντολές του συστήματος εκκίνησης οργανισμός που ανέλυσε το Dockerfile (για παράδειγμα, στο Snyk μέσω του Dockefile θα μπορούσατε να αντικαταστήσετε το βοηθητικό πρόγραμμα ls (/ bin / ls), που προκλήθηκε από το σαρωτή και στο WhiteSurce θα μπορούσατε να αντικαταστήσετε τον κώδικα μέσω των ορισμάτων με τη μορφή "echo"; πατήστε / tmp / hacked_whitesource_pip; = 1.0 "«).
Στο Anchore, η ευπάθεια προκλήθηκε από τη χρήση του βοηθητικού προγράμματος skopeo για να εργαστείτε με εικόνες docker. Η λειτουργία μειώθηκε στην προσθήκη παραμέτρων της φόρμας «os»: «$ (touch hacked_anchore)» »στο αρχείο manifest.json, τα οποία αντικαθίστανται κατά την κλήση του skopeo χωρίς σωστή διαφυγή (μόνο οι χαρακτήρες«; & <καταργήθηκαν > ", Αλλά η κατασκευή" $ () ").
Ο ίδιος συγγραφέας διεξήγαγε μια μελέτη σχετικά με την αποτελεσματικότητα της ανίχνευσης ευπάθειας δεν έχει επιδιορθωθεί μέσω σαρωτών ασφαλείας των κοντέινερ και το επίπεδο των ψευδών θετικών.
Εκτός από τον συγγραφέα υποστηρίζει ότι πολλά από αυτά τα εργαλεία χρησιμοποιήστε άμεσα διαχειριστές πακέτων για να επιλύσετε εξαρτήσεις. Αυτό τους καθιστά ιδιαίτερα δύσκολο να υπερασπιστούν. Ορισμένοι διαχειριστές εξάρτησης έχουν αρχεία διαμόρφωσης που επιτρέπουν τη συμπερίληψη κώδικα κελύφους.
Ακόμα κι αν αντιμετωπίζονται με κάποιον τρόπο αυτοί οι απλοί τρόποι, η κλήση αυτών των διαχειριστών πακέτων θα σημαίνει αναπόφευκτα να βγάζεις χρήματα. Αυτό, για να το θέσω ήπια, δεν διευκολύνει την υπεράσπιση της εφαρμογής.
Αποτελέσματα δοκιμής για 73 εικόνες που περιέχουν ευπάθειες γνωστή, καθώς και αξιολόγηση της αποτελεσματικότητας για τον προσδιορισμό της παρουσίας τυπικών εφαρμογών σε εικόνες (nginx, tomcat, haproxy, gunicorn, redis, ruby, node), μπορείτε να συμβουλευτείτε στη δημοσίευση Στον ακόλουθο σύνδεσμο.