ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Мировые новости. Обсуждения. (https://forum.antichat.io/forumdisplay.php?f=23)
-   -   Уязвимости в сканерах безопасности образов Docker-контейнеров (https://forum.antichat.io/showthread.php?t=478790)

Suicide 03.09.2020 20:00

Опубликованы результаты тестирования инструментов для определения неисправленных уязвимостей и выявления проблем с безопасностью в образах изолированных контейнеров Docker. Проверка показала, что в 4 из 6 известных сканеров образов Docker присутствовали критические уязвимости, позволяющие атаковать непосредственно сам сканер и добиться выполнения своего кода в системе, в отдельных случаях (например, при использовании Snyk) с правами root.

Для атаки злоумышленнику достаточно инициировать проверку своего Dockerfile или manifest.json, включающего специально оформленные метаданные, или разместить внутри образа файлы Podfile и gradlew. Прототипы эксплоитов удалось подготовить для систем WhiteSource, Snyk, Fossa и Anchore. Наилучшую безопасность показал пакет Clair, изначально написанный с оглядкой на обеспечение безопасности. Проблем также не выявлено в пакете Trivy. В итоге сделан вывод, что сканеры Docker-контейнеров следует запускать в изолированных окружения или использовать только для проверки собственных образов, а также проявлять осторожность при подключении подобных инструментов к автоматизированным системам непрерывной интеграции.

В FOSSA, Snyk и WhiteSource уязвимость была связана с вызовом внешнего пакетного менеджера для определения зависимостей и позволяла организовать выполнение своего кода через указание команд touch и system в файлах gradlew и Podfile.

В Snyk и WhiteSource дополнительно были найдены уязвимости, связанные с организацией запуска системных команд при разборе Dockerfile (например, в Snyk через Dockefile можно было заменить утилиту /bin/ls, вызываемую сканером, а в WhiteSurce можно было подставить код через аргументы в форме "echo ';touch /tmp/hacked_whitesource_pip;=1.0'").

В Anchore уязвимость была вызвана использованием утилиты skopeo для работы с docker-образами. Эксплуатация сводилась к добавлению в файл manifest.json параметров вида '"os": "$(touch hacked_anchore)"', которые подставляются при вызове skopeo без должного экранирования (вырезались только символы ";&<>", но допускалась конструкция "$()").

Тем же автором проведено исследование эффективности выявления неисправленных уязвимостей сканерами безопасности docker-контейнеров и уровень ложных срабатываний (часть 1, часть 2, часть 3). Ниже показаны результаты тестирования 73 образов, содержащих известные уязвимости, а также дана оценка эффективности определения наличия типовых приложений в образах (nginx, tomcat, haproxy, gunicorn, redis, ruby, node).

https://www.opennet.ru/opennews/pics...1599114324.pnghttps://www.opennet.ru/opennews/pics...1599114897.png


devton 03.09.2020 20:03

уязвимость в сканере уязвимостей 0_о

http://t0.gstatic.com/images?q=tbn:A...LnOYss8KDBFY&s

altblitz 04.09.2020 08:49

Вот это всё - dockers containers node.js и прочие frameworks, что по сути своей - гадкое зло индусов poo in loo.

https://i.imgur.com/c5bJnrv.png


Время: 13:58