Rezilion, çoğu standart güvenlik açığı tarayıcısı ve SCA aracı tarafından algılanmayan güvenlik açıkları içeren yüzlerce Docker kapsayıcı görüntüsünün varlığını ortaya çıkardı.
Araştırma, toplu olarak milyarlarca kez indirilen yüzlerce popüler kapsayıcı görüntüsünde gizlenmiş çok sayıda yüksek önem dereceli/kritik güvenlik açığını ortaya çıkardı. Bu, genel olarak bilinen istismarlara sahip yüksek profilli güvenlik açıklarını içerir.
CVE-2021-42013, CVE-2021-41773, CVE-2019-17558 dahil olmak üzere gizli güvenlik açıklarından bazılarının vahşi ortamda aktif olarak kullanıldığı biliniyor ve CISA’nın yararlanılan bilinen güvenlik açıkları kataloğunun bir parçası.
Araştırma, değerlendirmede belirlenen temel nedenlerden birine, yani paket yöneticileri tarafından yönetilmeyen yazılım bileşenlerinin algılanamamasına derinlemesine dalar.
Çalışma, standart güvenlik açığı tarayıcılarının ve SCA araçlarının doğal çalışma yönteminin, taranan ortamda hangi paketlerin var olduğunu bilmek için paket yöneticilerinden veri almaya nasıl dayandığını ve bunların, yazılımın konuşlandırıldığı birden çok yaygın senaryoda güvenlik açığı bulunan yazılım paketlerini kaçırmaya karşı duyarlı hale getirdiğini açıklıyor. bu paket yöneticilerini atlatan şekillerde. Bu araştırma, bu boşluğun ne kadar geniş olduğunu ve bunun üçüncü taraf yazılım kullanan kuruluşlar üzerindeki etkisini tam olarak göstermektedir.
Rapora göre, dağıtım yöntemlerini atlatan paket yöneticileri Docker kapsayıcılarında yaygın olarak görülüyor. Araştırma ekibi, DockerHub’ın resmi kapsayıcı görüntülerinin çoğu da dahil olmak üzere, paket yöneticilerini atlayacak şekilde kod dağıtan 100.000’den fazla kapsayıcı görüntüsü belirledi. Bu kaplar ya zaten gizli güvenlik açıkları içerir ya da bu bileşenlerden birinde bir güvenlik açığı belirlenirse gizli güvenlik açıklarına sahip olma olasılığı yüksektir.
Araştırmacılar, uygulamanın kendisi, uygulamanın çalışması için gerekli çalışma süreleri, uygulamanın çalışması için gerekli bağımlılıklar ve dağıtım/inşa süreci için gerekli bağımlılıklar gibi, yazılımın paket yöneticileriyle etkileşim olmadan dağıtıldığı dört farklı senaryo belirlediler. kapsayıcı görüntü oluşturma işleminin sonunda silinmeyen uygulamanın ve gizli güvenlik açıklarının kapsayıcı görüntülere nasıl ulaşabildiğini gösterir.
“Bu araştırmanın, geliştiricileri ve güvenlik uygulamacılarını bu boşluğun varlığı konusunda eğiteceğini umuyoruz, böylece onlar da riski en aza indirmek için uygun önlemleri alabilmenin yanı sıra satıcıları ve açık kaynak projelerini bu tür senaryolara destek eklemeye zorlayabilir. ” dedi Rezilion Güvenlik Açığı Araştırması Direktörü Yotam Perkal. “Güvenlik açığı tarayıcıları ve SCA araçları bu durumlara uyum sağlamadığı sürece, paketleri veya yürütülebilir dosyaları bu şekilde yükleyen herhangi bir kapsayıcı görüntüsünün, bu bileşenlerden herhangi biri savunmasız hale gelirse sonunda ‘gizli’ güvenlik açıkları içerebileceğini not etmek önemlidir.”