Baru-baru ini dikenal melalui sebuah posting blog, hasil pengujian alat untuk mengidentifikasi kerentanan tidak ada tambalan dan identifikasi masalah keamanan dalam gambar kontainer Docker yang terisolasi.
Pengujian menunjukkan bahwa 4 dari 6 pemindai gambar Docker yang dikenal memiliki kerentanan kritis yang diizinkan untuk menyerang pemindai itu sendiri dan menjalankan kodenya pada sistem, dalam beberapa kasus (menggunakan Snyk misalnya) dengan hak akses root.
Untuk serangan, penyerang hanya perlu mulai memeriksa Dockerfile-nya atau manifest.json, yang mencakup metadata yang diformat secara khusus, atau letakkan file podfile dan gradlew di dalam gambar.
Kami berhasil menyiapkan prototipe eksploitasi untuk sistem WhiteSource, Snyk, Fossa, dan jangkar.
El paquete Clair, aslinya ditulis dengan mengutamakan keamanan, menunjukkan keamanan terbaik.
Tidak ada masalah yang teridentifikasi dalam paket Trivy dan sebagai hasilnya, disimpulkan bahwa pemindai kontainer Docker harus dijalankan di lingkungan yang terisolasi atau hanya digunakan untuk memverifikasi gambarnya sendiri, dan juga berhati-hati saat menghubungkan alat tersebut ke sistem integrasi berkelanjutan otomatis.
Pemindai ini melakukan hal-hal yang rumit dan rawan kesalahan. Mereka berurusan dengan buruh pelabuhan, mengekstrak lapisan / file, berinteraksi dengan manajer paket atau menganalisis format yang berbeda. Sangat sulit untuk mempertahankannya, sambil mencoba mengakomodasi semua kasus penggunaan untuk pengembang. Mari kita lihat bagaimana berbagai alat mencoba dan mengatur untuk melakukannya:
Skor pengungkapan yang bertanggung jawab mencerminkan pendapat pribadi saya: Menurut saya penting bagi vendor perangkat lunak untuk tanggap terhadap masalah keamanan yang dilaporkan kepada mereka, jujur dan transparan tentang kerentanan, untuk memastikan bahwa orang yang menggunakan produk mereka diberi tahu dengan benar untuk membuat keputusan tentang pembaruan. Ini termasuk informasi teratas bahwa pembaruan memiliki perubahan yang relevan dengan keamanan, membuka CVE untuk melacak dan mengkomunikasikan masalah, dan berpotensi memberi tahu pelanggan Anda. Saya pikir ini sangat masuk akal untuk mengasumsikan jika produk tersebut tentang CVE, memberikan informasi tentang kerentanan dalam perangkat lunak. Selain itu, saya diyakinkan oleh tanggapan yang cepat, waktu koreksi yang wajar, dan komunikasi terbuka dengan orang yang melaporkan serangan tersebut.
Di FOSSA, Snyk dan WhiteSource, kerentanan terkait dengan panggilan ke manajer paket eksternal untuk menentukan dependensi dan memungkinkan Anda untuk mengatur eksekusi kode Anda dengan menentukan perintah sentuh dan sistem dalam file gradlew dan Podfile.
En Snyk dan WhiteSource juga menemukan kerentanan, terkait dengan perintah sistem peluncuran organisasi yang mengurai Dockerfile (misalnya, di Snyk melalui Dockefile Anda dapat mengganti utilitas ls (/ bin / ls), yang disebabkan oleh pemindai dan di WhiteSurce Anda dapat mengganti kode melalui argumen dalam bentuk "echo"; tap / tmp / hacked_whitesource_pip; = 1.0 '«).
Di Anchore, kerentanan disebabkan oleh penggunaan utilitas skopeo untuk bekerja dengan gambar buruh pelabuhan. Operasi tersebut dikurangi menjadi menambahkan parameter dalam bentuk '»os»: «$ (touch hacked_anchore)»' ke file manifest.json, yang diganti saat memanggil skopeo tanpa escape yang tepat (hanya karakter «; & <yang dihapus > ", Tapi konstruksi" $ () ").
Penulis yang sama melakukan studi tentang efektivitas deteksi kerentanan tidak ditambal melalui pemindai keamanan kontainer buruh pelabuhan dan tingkat positif palsu.
Selain penulisnya berpendapat bahwa beberapa alat ini langsung menggunakan manajer paket untuk menyelesaikan dependensi. Hal ini membuat mereka sangat sulit untuk dipertahankan. Beberapa manajer ketergantungan memiliki file konfigurasi yang memungkinkan penyertaan kode shell.
Bahkan jika cara-cara sederhana ini ditangani, memanggil manajer paket ini pasti akan berarti mengeluarkan uang. Ini, secara halus, tidak memfasilitasi pertahanan aplikasi.
Hasil Tes untuk 73 Gambar yang Mengandung Kerentanan diketahui, serta evaluasi keefektifan untuk menentukan keberadaan aplikasi khas pada gambar (nginx, tomcat, haproxy, gunicorn, redis, ruby, node), bisa dikonsultasikan dalam publikasi yang dibuat Di tautan berikut.