Неколико рањивости је пронађено приликом скенирања Доцкер контејнера

доцк-хацкед

Недавно постало познато Медианте пост на блогу, резултати алата за тестирање за идентификовање рањивости без закрпе и идентификовања сигурносних проблема на изолованим сликама Доцкер контејнера.

Тест је показао да 4 од 6 скенера познате Доцкерове слике имао критичне рањивости то је омогућило напад на сам скенер и покретање његовог кода на систему, у неким случајевима (на пример користећи Сник) са роот привилегијама.

За напад, нападач треба само да почне да проверава свој Доцкерфиле или манифест.јсон, који укључује посебно форматиране метаподатке, или ставите датотеке подфиле и градлев унутар слике.

Успевамо да припремимо екплоит прототипове за ВхитеСоурце, Сник, Фосса и сидрене системе.

Ел пакуете Цлаир, оригинално написано са пажњом о безбедности, показао најбољу сигурност.

У пакету Триви нису утврђени проблеми и као резултат тога, закључено је да скенери Доцкер контејнера треба да се раде у изолованим окружењима или да се користе само за верификовање сопствених слика, а такође бити опрезан приликом повезивања таквих алата са аутоматизованим системима континуиране интеграције.

Ови скенери раде сложене ствари и подложне грешкама. Они се баве доцкером, ваде слојеве / датотеке, комуницирају са менаџерима пакета или анализирају различите формате. Бранити их, док покушавају да прилагоде све случајеве употребе програмера, веома је тешко. Погледајмо како различити алати то покушавају и успевају:

Оцена одговорног откривања одражава моје лично мишљење: Мислим да је важно да добављачи софтвера реагују на безбедносна питања која су им пријављена, да буду искрени и транспарентни у погледу рањивости, како би били сигурни да људи који користе њихове производе су правилно информисани да доносе одлуке о ажурирању. То укључује најважније информације да ажурирање има безбедносне промене, отварање ЦВЕ-а за праћење и комуникацију о проблему и потенцијално обавештавање купаца. Мислим да је ово посебно разумно претпоставити ако се ради о производу ЦВЕ, који пружа информације о рањивостима у софтверу. Такође ме уверава брз одговор, разумно време корекције и отворена комуникација са особом која пријављује напад.

У ФОССА, Сник и ВхитеСоурце, рањивост је повезана са позивањем спољном менаџеру пакета да бисте утврдили зависности и омогућили вам да организујете извршавање кода одређивањем додирних и системских наредби у датотекама градлев и Подфиле.

En Сник и ВхитеСоурце су такође пронашли рањивост, повезану са командама система за лансирање организација која је рашчланила Доцкерфиле (на пример, у Сник-у преко Доцкефиле-а можете заменити услужни програм лс (/ бин / лс), изазван скенером, а у ВхитеСурце-у можете заменити код помоћу аргумената у облику „ецхо“ ; тапните /тмп/хацкед_вхитесоурце_пип;=1.0 '«).

У Анцхоре-у, рањивост је узрокована употребом услужног програма скопео за рад са сликама доцкера. Операција је сведена на додавање параметара облика '»ос»: «$ (тоуцх хацкед_анцхоре)»' у датотеку манифест.јсон, који се замењују при позиву скопео без одговарајућег бекства (уклоњени су само знакови «; & < > ", Али конструкција" $ () ").

Исти аутор је спровео студију о ефикасности откривања рањивости није закрпан путем сигурносних скенера докерских контејнера и ниво лажно позитивних резултата.

Поред аутора тврди да неколико ових алата директно користите менаџере пакета за решавање зависности. То их чини посебно тешким за одбрану. Неки менаџери зависности имају конфигурационе датотеке које омогућавају укључивање љуске кода. 

Чак и ако се овим једноставним начинима некако помогне, позивање ових менаџера пакета неизбежно ће значити одбацивање новца. То, благо речено, не олакшава одбрану пријаве.

Резултати теста за 73 слике које садрже рањивости позната, као и процена ефикасности за утврђивање присуства типичних апликација на сликама (нгинк, томцат, хапроки, гуницорн, редис, руби, ноде), може се консултовати у оквиру објављене публикације У следећем линку.


Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.