Уязвимости в сканерах безопасности образов Docker-контейнеров

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
03-Сен-2020 11:30

Опубликованы результаты тестирования инструментов для определения неисправленных уязвимостей и выявления проблем с безопасностью в образах изолированных контейнеров Docker. Проверка показала, что в 4 из 6 известных сканеров образов Docker присутствовали критические уязвимости, позволяющие атаковать непосредственно сам сканер и добиться выполнения своего кода в системе, в отдельных случаях (например, при использовании Snyk) с правами root.
Для атаки злоумышленнику достаточно инициировать проверку своего Dockerfile или manifest.json, включающего специально оформленные метаданные, или разместить внутри образа файлы Podfile и gradlew. Прототипы эксплоитов удалось подготовить для систем
WhiteSource, Snyk,
Fossa и
Anchore. Наилучшую безопасность показал пакет Clair, изначально написанный с оглядкой на обеспечение безопасности. Проблем также не выявлено в пакете Trivy. В итоге сделан вывод, что сканеры Docker-контейнеров следует запускать в изолированных окружения или использовать только для проверки собственных образов, а также проявлять осторожность при подключении подобных инструментов к автоматизированным системам непрерывной интеграции.
В FOSSA, Snyk и WhiteSource уязвимость была связана с вызовом внешнего пакетного менеджера для определения зависимостей и позволяла организовать выполнение своего кода через указание команд touch и system в файлах gradlew и Podfile.
В Snyk и WhiteSource дополнительно были найдены уязвимости, связанные с организацией запуска системных команд при разборе Dockerfile (например, в Snyk через Dockefile можно было заменить утилиту /bin/ls, вызываемую сканером, а в WhiteSurce можно было подставить код через аргументы в форме "echo ';touch /tmp/hacked_whitesource_pip;=1.0'").
В Anchore уязвимость была вызвана использованием утилиты skopeo для работы с docker-образами. Эксплуатация сводилась к добавлению в файл manifest.json параметров вида '"os": "$(touch hacked_anchore)"', которые подставляются при вызове skopeo без должного экранирования (вырезались только символы ";&<>", но допускалась конструкция "$()").
Тем же автором проведено исследование эффективности выявления неисправленных уязвимостей сканерами безопасности docker-контейнеров и уровень ложных срабатываний (часть 1, часть 2, часть 3).
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_docker, #_scanner, #_container, #_whitesource, #_snyk, #_fossa, #_anchore, #_trivy, #_clair
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 22:33
Часовой пояс: UTC + 5