2023年02月25日
Rezilion發現了數百個Docker容器鏡像的存在,這些鏡像包含了大多數標準漏洞掃描器和SCA工具都沒有檢測到的漏洞。
研究發現,數百個Docker容器鏡像中隱藏著許多高危險性/關鍵性的漏洞,這些容器鏡像的下載量合計達數十億次。其中包括已被公開的高知名漏洞。
一些隱藏的漏洞在野外被積極利用,這些漏洞是CISA已知被利用漏洞合集中的一部分,包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。
經過研究發現漏洞存在的根本原因是無法檢測未被軟件包管理器管理的軟件組件。
該研究解釋了標準漏洞掃描器和SCA工具的固有操作方法是如何依靠從軟件包管理器獲取數據來了解掃描環境中存在哪些軟件包的,這使得它們容易在多種常見情況下遺漏易受攻擊的軟件包,即軟件的部署方式規避了這些軟件包管理器。
根據該報告,規避部署方式的軟件包管理器在Docker容器中很常見。研究小組已經發現了超過10萬個以繞過軟件包管理器的方式部署代碼的容器鏡像,包括DockerHub的大多數官方容器鏡像。這些容器要么已經包含隱藏的漏洞,要么在其中一個組件的漏洞被發現后容易出現隱藏的漏洞。
研究人員確定了四種不同的情況,在這些情況下,軟件的部署沒有與軟件包管理器進行交互,如應用程序本身、應用程序所需的運行、應用程序工作所需的依賴性,以及在容器鏡像構建過程結束時沒有刪除的應用程序部署,并展示了隱藏的漏洞如何找到容器鏡像。
"我們希望這項研究能讓開發者和安全從業者了解這一漏洞的存在,這樣他們就能采取適當的行動來減少風險,并推動供應商和開源項目增加對這些類型場景的支持,"Rezilion公司漏洞研究部主任Yotam Perkal說。"
最后需要提醒大家的是,只要漏洞掃描程序和SCA工具無法適應這些情況,任何以這種方式安裝軟件包或可執行文件的容器映像最終都可能包含'隱藏'漏洞。
來源:FreeBuf.COM