2023年02月25日
Rezilion發(fā)現(xiàn)了數(shù)百個(gè)Docker容器鏡像的存在,這些鏡像包含了大多數(shù)標(biāo)準(zhǔn)漏洞掃描器和SCA工具都沒(méi)有檢測(cè)到的漏洞。
研究發(fā)現(xiàn),數(shù)百個(gè)Docker容器鏡像中隱藏著許多高危險(xiǎn)性/關(guān)鍵性的漏洞,這些容器鏡像的下載量合計(jì)達(dá)數(shù)十億次。其中包括已被公開的高知名漏洞。
一些隱藏的漏洞在野外被積極利用,這些漏洞是CISA已知被利用漏洞合集中的一部分,包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。
經(jīng)過(guò)研究發(fā)現(xiàn)漏洞存在的根本原因是無(wú)法檢測(cè)未被軟件包管理器管理的軟件組件。
該研究解釋了標(biāo)準(zhǔn)漏洞掃描器和SCA工具的固有操作方法是如何依靠從軟件包管理器獲取數(shù)據(jù)來(lái)了解掃描環(huán)境中存在哪些軟件包的,這使得它們?nèi)菀自诙喾N常見(jiàn)情況下遺漏易受攻擊的軟件包,即軟件的部署方式規(guī)避了這些軟件包管理器。
根據(jù)該報(bào)告,規(guī)避部署方式的軟件包管理器在Docker容器中很常見(jiàn)。研究小組已經(jīng)發(fā)現(xiàn)了超過(guò)10萬(wàn)個(gè)以繞過(guò)軟件包管理器的方式部署代碼的容器鏡像,包括DockerHub的大多數(shù)官方容器鏡像。這些容器要么已經(jīng)包含隱藏的漏洞,要么在其中一個(gè)組件的漏洞被發(fā)現(xiàn)后容易出現(xiàn)隱藏的漏洞。
研究人員確定了四種不同的情況,在這些情況下,軟件的部署沒(méi)有與軟件包管理器進(jìn)行交互,如應(yīng)用程序本身、應(yīng)用程序所需的運(yùn)行、應(yīng)用程序工作所需的依賴性,以及在容器鏡像構(gòu)建過(guò)程結(jié)束時(shí)沒(méi)有刪除的應(yīng)用程序部署,并展示了隱藏的漏洞如何找到容器鏡像。
"我們希望這項(xiàng)研究能讓開發(fā)者和安全從業(yè)者了解這一漏洞的存在,這樣他們就能采取適當(dāng)?shù)男袆?dòng)來(lái)減少風(fēng)險(xiǎn),并推動(dòng)供應(yīng)商和開源項(xiàng)目增加對(duì)這些類型場(chǎng)景的支持,"Rezilion公司漏洞研究部主任Yotam Perkal說(shuō)。"
最后需要提醒大家的是,只要漏洞掃描程序和SCA工具無(wú)法適應(yīng)這些情況,任何以這種方式安裝軟件包或可執(zhí)行文件的容器映像最終都可能包含'隱藏'漏洞。
來(lái)源:FreeBuf.COM