數(shù)百個(gè)Docker容器鏡像中隱藏漏洞�����,下載量高達(dá)數(shù)十億次
2023年02月25日
Rezilion發(fā)現(xiàn)了數(shù)百個(gè)Docker容器鏡像的存在�,這些鏡像包含了大多數(shù)標(biāo)準(zhǔn)漏洞掃描器和SCA工具都沒(méi)有檢測(cè)到的漏洞�。
研究發(fā)現(xiàn),數(shù)百個(gè)Docker容器鏡像中隱藏著許多高危險(xiǎn)性/關(guān)鍵性的漏洞����,這些容器鏡像的下載量合計(jì)達(dá)數(shù)十億次。其中包括已被公開(kāi)的高知名漏洞�����。
一些隱藏的漏洞在野外被積極利用�����,這些漏洞是CISA已知被利用漏洞合集中的一部分����,包括CVE-2021-42013�����、CVE-2021-41773����、CVE-2019-17558�����。
經(jīng)過(guò)研究發(fā)現(xiàn)漏洞存在的根本原因是無(wú)法檢測(cè)未被軟件包管理器管理的軟件組件�����。
該研究解釋了標(biāo)準(zhǔn)漏洞掃描器和SCA工具的固有操作方法是如何依靠從軟件包管理器獲取數(shù)據(jù)來(lái)了解掃描環(huán)境中存在哪些軟件包的�,這使得它們?nèi)菀自诙喾N常見(jiàn)情況下遺漏易受攻擊的軟件包����,即軟件的部署方式規(guī)避了這些軟件包管理器。
根據(jù)該報(bào)告�����,規(guī)避部署方式的軟件包管理器在Docker容器中很常見(jiàn)。研究小組已經(jīng)發(fā)現(xiàn)了超過(guò)10萬(wàn)個(gè)以繞過(guò)軟件包管理器的方式部署代碼的容器鏡像��,包括DockerHub的大多數(shù)官方容器鏡像��。這些容器要么已經(jīng)包含隱藏的漏洞�����,要么在其中一個(gè)組件的漏洞被發(fā)現(xiàn)后容易出現(xiàn)隱藏的漏洞�����。
研究人員確定了四種不同的情況���,在這些情況下���,軟件的部署沒(méi)有與軟件包管理器進(jìn)行交互,如應(yīng)用程序本身���、應(yīng)用程序所需的運(yùn)行��、應(yīng)用程序工作所需的依賴(lài)性����,以及在容器鏡像構(gòu)建過(guò)程結(jié)束時(shí)沒(méi)有刪除的應(yīng)用程序部署,并展示了隱藏的漏洞如何找到容器鏡像�����。
"我們希望這項(xiàng)研究能讓開(kāi)發(fā)者和安全從業(yè)者了解這一漏洞的存在��,這樣他們就能采取適當(dāng)?shù)男袆?dòng)來(lái)減少風(fēng)險(xiǎn)��,并推動(dòng)供應(yīng)商和開(kāi)源項(xiàng)目增加對(duì)這些類(lèi)型場(chǎng)景的支持��,"Rezilion公司漏洞研究部主任Yotam Perkal說(shuō)�����。"
最后需要提醒大家的是���,只要漏洞掃描程序和SCA工具無(wú)法適應(yīng)這些情況,任何以這種方式安裝軟件包或可執(zhí)行文件的容器映像最終都可能包含'隱藏'漏洞�����。
來(lái)源:FreeBuf.COM
