惡意軟體就在Docker容器中?

2021-09-23 04:32:11 字數 1281 閱讀 2420

研究人員們警告稱,docker容器很可能成為惡意軟體感染的完美掩飾環境。

在本屆於拉斯維加斯召開的2017美國黑帽大會上,aqu security公司研究人員michael cherny與sagie dulce指出,docker api可被用於實現遠端**執行與安全機制迴避等目的。

作為開發人員群體當中人氣極高的**測試方案,docker能夠建立起一套完整的it堆疊(包含作業系統、韌體以及應用程式),用以在容器這一封閉環境當中進行**執行。儘管其結構本身非常適合實現**測試,但容器技術亦可能被攻擊者用於在企業環境內進行惡意軟體感染。

研究人員們解釋稱,攻擊者不僅能夠在企業網路之內執行惡意軟體**,同時亦可在過程當中配合較高執行許可權。

在攻擊當中,惡意一方往往會誘導受害者開啟受控網頁,而後使用rest api呼叫執行docker build命令,藉以建立起能夠執行任意**的容器環境。通過一種名為「主機重繫結」的技術,攻擊者能夠繞過同源政策保護機制並獲得底層moby linux虛擬機器當中的root訪問能力。

如此一來,攻擊者將能夠竊取開發者登入憑證、在開發者裝置上執行惡意軟體或者將惡意軟體注入至容器映象之內,進而在該容器的每一次啟動當中實現感染傳播。

作者們解釋稱,「在攻擊完成之後,攻擊者將獲取到受害者網路的完全訪問能力,並在其中駐留持久**。由於這部分**執行在moby linux虛擬機器當中,因此很難被檢測發現。」

門扉大開

更令人憂心的是,容器與開發者帳戶往往擁有高階系統訪問許可權。當在本地開發者的pc裝置上執行docker時,其極易受到跨站點偽造攻擊等入侵手段的影響,意味著攻擊者將能夠利用tcp請求處理等安全缺陷實現惡意目的。

研究人員們指出,「事實上,每一位安裝有docker for windows的開發者都會在基本地裝置上直接執行docker。這主要是因為,即使docker守護程式與容器執行在虛擬機器環境之下,docker客戶端仍然能夠同主機守護程式進行通訊。」

aqua security公司表示其已經將其中一種攻擊向量——即存在安全缺陷的tcp元件——上報至docker方面,對方則發布了更新對其進行修復。

然而,cherny與dulce表示docker當中還存在著其它一些可資利用的漏洞,這不僅可被用於感染容器,同時亦會影響到系統上執行的其它虛擬機器乃至主機裝置。

「大家必須對映象進行掃瞄以消除可被利用的惡意軟體或者安全漏洞。另外,執行時保護機制能夠幫助您的容器擁有與預期相符的運作效果,且不致執行任何惡意行為。」

原文發布時間為:2023年7月30日

Docker容器中執行docker 命令

一 在一台執行了docker的伺服器上,啟動374c3bec1f4b 映象的容器,這個映象中安裝docker yum install docker y docker run itd v var run docker.sock var run docker.sock name docker test ...

docker中nginx容器和php容器混合執行

該容器在文章 php環境容器大 制得,亦可用docker官方提供的php環境 啟動php容器 docker run name php1 v home wwwroot service config php config usr local php etc v home wwwroot home www...

docker容器中不能ping

進入容器內,執行ping命令,提示缺少許可權 docker exec it deac bin bash bash 4.3 ping 192.168.1.100 ping 192.168.1.100 192.168.10.100 56 data bytes ping permission denied...