容器的出现使开发团队可以创建沙盒环境,以在其中运行和测试应用程序,容器主要由从 docker hub 或其他公共镜像存储库提取的开源镜像组成。
但是这些开源镜像有时可能包含一些漏洞,这些漏洞可能会危害容器的安全,进而危害其主机/服务器。
由于这些容器在主机上运行,因此如果容器不受保护,就可以劫持生产中的容器。
此类攻击的一个很好的例子是特斯拉对未受保护的 Kubernetes 集群的加密劫持攻击。在此攻击中,攻击者能够使用特斯拉的 K8s(Kubernetes)集群提供的 GPU 下载并运行恶意脚本来挖掘加密货币。通过将 CPU 使用率保持在最低水平,并且还可以在特定的时间间隔运行脚本,导致监控很难发现这个问题。
下面我们将研究常见的容器漏洞以及修复它们的可能方法。
容器漏洞
加密劫持
加密劫持是一种攻击,其中恶意脚本被用来窃取设备的计算资源以挖掘加密货币。
最近,在 Docker 上发现了 CVE-2018-15664 的漏洞。 此漏洞使攻击者有可能获得对主机计算机的 root 访问权限。
攻击者除了能够使用主机计算机的 CPU 和 GPU 资源来挖掘加密货币之外,还可以窃取敏感凭据,进行 DoS 攻击,发起网络钓鱼活动等等。
如果容器包含恶意镜像,这些容器会给攻击者提供对整个容器的根访问权限,则它们可能容易受到密码劫持的攻击。 如果 Docker API 暴露在公网上,例如 Tesla,它们很容易受到攻击。
恶意开源镜像
该漏洞可以覆盖主机的 runc 二进制文件,从而使攻击者可以通过 root 用户访问权限来执行命令。 v18.09.2 之前的Docker 引擎使带有攻击者控制镜像的容器容易受到 CVE-2019-5736 漏洞的影响。
建议工程师尽可能利用 docker 提供的官方 Docker 镜像。 毕竟,甚至还有一个由 Docker 赞助的团队,该团队与软件维护者/发布者和安全专家紧密合作,以确保官方 Docker 镜像的安全性。
静态 Dockerfile
容器的镜像是不可变的。 这意味着在构建镜像时,其内容不可更改。 由于镜像中包含的过时程序包/库/镜像也会导致漏洞
因此,将漏洞扫描程序合并到 CI/CD 流程中是一个好主意,以便识别易受攻击的容器镜像。 由于镜像是不可变的,因此建议经常更新程序包、库、镜像
如何查找容器漏洞
前面我们说了利用漏洞如何攻击容器的可能方式。
下面研究下如何找出容器中可能包含的漏洞
使用 Docker Bench for Security
Docker Bench for Security 是一个脚本,用于测试主机/服务器上的所有 Docker 容器,检查关于在生产环境中部署Docker 容器的几十个常见最佳实践,这些测试基于 CIS docker 基准。
如何运行
docker run -it --net host --pid host --userns host --cap-add audit_control -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST -v /etc:/etc:ro -v /usr/bin/docker-containerd:/usr/bin/docker-containerd:ro -v /usr/bin/docker-runc:/usr/bin/docker-runc:ro -v /usr/lib/systemd:/usr/lib/systemd:ro -v /var/lib:/var/lib:ro -v /var/run/docker.sock:/var/run/docker.sock:ro --label docker_bench_security docker/docker-bench-security
该脚本运行各种测试,并为每个测试提供 INFO , NOTE , PASS 或 WARN 结果。
465
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
