Твой образ милый и… дырявый
5 марта 2019
«Антивирусная правДА!» однажды уже рассказывала о проблемах безопасности модной платформы Docker. Напомним, что Docker позволяет запускать приложения в изолированном окружении. То есть, грубо говоря, приложение вызывает нужные ему для работы библиотеки и иные ресурсы, и не обращается к системным ресурсам. Это очень удобно, например, для запуска приложения, если оно работает только с определенной версией какой-то библиотеки, не требующейся другим приложениям. Можно запускать устаревшие приложения, в том числе имеющие нужный пользователю функционал, удаленный в более поздних версиях.
В среднем контейнеры по сравнению с виртуальными машинами гораздо более многочисленны. Они легковесны, что позволяет запустить множество контейнеров даже на весьма скромном железе.
И в этом плюсе кроется минус: устаревшие приложения и ресурсы имеют незакрытые уязвимости, и злоумышленники могут через них проникать в систему.
В Интернете можно найти немало Docker-образов, которые делают всевозможные полезные и классные вещи, но если вы загружаете образы без использования каких-либо механизмов доверия и проверки подлинности, вы по сути запускаете на своих системах произвольное ПО.
- Откуда был загружен этот образ?
- Доверяете ли вы его создателям? Какие политики безопасности они используют?
- Есть ли у вас объективное криптографическое доказательство того, что образ был действительно создан этими людьми?
- Вы уверены, что никто не изменил образ после того, как он был загружен?
Плюс к этому платформа Docker это не полнофункциональная система виртуализации, когда для работы приложения используется полноценная операционная система. Нет, при использовании Docker все приложения работают в одной ОС, хотя и не имеют доступа к ее файлам. Точнее, раньше не имели.
Уязвимость, получившая идентификационный номер CVE-2019-5736, даёт заражённому контейнеру возможность перезаписать исполняемый файл runC на хосте и получить к нему root-доступ. Это позволяет такому контейнеру получить контроль над хостом и даёт атакующему возможность выполнять любые команды.
Но присмотримся к новости: речь идет о «зараженном контейнере». В выпуске об Облаке Dr.Web мы показали, что обычный антивирус, установленный на сервере, где запускаются образы, отлично обнаруживает в них вредоносные программы. Получается, что проблема вновь не в уязвимостях, а в том, что администраторы серверов не используют средства антивирусной защиты.
#сервер #антивирус #корпоративная_безопасность #уязвимость #эксплойт
Антивирусная правДА! рекомендует
- Уязвимости были, есть и будут, поэтому использовать антивирус критически важно в целях безопасности.
- Получаемые из каких-либо источников образы должны проверяться антивирусом до начала их использования.
- Устанавливайте обновления, в том числе и для компонентов Docker.
-
Настройте ограничение прав. Запускаемые образы не должны иметь права доступа к ресурсам системы.
Термин «выход за пределы контейнера» (container breakout) используется для обозначения ситуации, при которой какой-либо программе, запущенной внутри Docker-контейнера, удается преодолеть механизмы изоляции и получить дополнительные привилегии или доступ к конфиденциальной информации на хосте. Для предотвращения подобных прорывов используется уменьшение количества привилегий контейнера, выдаваемых ему по умолчанию. Например, демон Docker по умолчанию выполняется под рутом, однако существует возможность создать пользовательское пространство имен (user-level namespace) или снять потенциально опасные привилегии контейнера.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Rider
23:05:44 2019-03-06
achemolganskiy
07:27:05 2019-03-06
razgen
00:52:59 2019-03-06
Ознакомился со всеми комментариями. Данный выпуск для меня, как и для большинства чисто для общего развития. Считаю, что изредка нужны и такие выпуски, чтобы расширять свой кругозор о проблемах безопасности.
orw_mikle
22:02:32 2019-03-05
Lia00
21:58:47 2019-03-05
Dvakota
21:15:55 2019-03-05
Andromeda
21:12:57 2019-03-05
Шалтай Александр Болтай
20:10:45 2019-03-05
kozinka.ru
19:57:27 2019-03-05
Татьяна
19:40:03 2019-03-05
Toma
19:17:40 2019-03-05
robot
18:48:10 2019-03-05
Альфа
18:16:39 2019-03-05
Masha
18:13:07 2019-03-05
Dmur
17:01:14 2019-03-05
EvgenyZ
16:25:31 2019-03-05
Геральт
15:06:53 2019-03-05
anatol
14:34:39 2019-03-05
Любитель пляжного футбола
13:48:50 2019-03-05
stavkafon
13:44:53 2019-03-05
marisha-san
13:35:23 2019-03-05
Zserg
12:59:18 2019-03-05
SGES
12:59:09 2019-03-05
Денисенко Павел Андреевич
12:45:35 2019-03-05
UrthamArRang
12:11:44 2019-03-05
B0RIS
11:47:54 2019-03-05
vinnetou
11:20:56 2019-03-05
Неуёмный Обыватель
11:07:17 2019-03-05
Alexander
10:49:23 2019-03-05
Также и с платформой Docker с контейнерами, - и дыры, и проходы, и уязвимости...
Использование Docker - это и удобно, и быстро, и модно... но... надо держать ухо востро! Dr.Web Security Space - это именно то, что, безусловно, должно быть на компьютере, в том числе, и при использовании платформы Docker.
I23
10:46:45 2019-03-05
Oleg
10:41:35 2019-03-05
maestro431
10:19:55 2019-03-05
aletoropov
09:51:53 2019-03-05
Lenba
09:45:36 2019-03-05
Ярослав
09:33:04 2019-03-05
I46
09:26:45 2019-03-05
Пaвeл
09:16:53 2019-03-05
Возражений нет!
dyadya_Sasha
09:12:51 2019-03-05
Использую и голова не болит.
2.Получаемые из каких-либо источников образы должны проверяться антивирусом до начала их использования.
Всё что из вне должно проверяться антивирусом до начала использования этого всего. Хочешь "чистую" зону, пропускай всех с зоны "грязной" через КПП с тщательной проверкой.
3.Устанавливайте обновления, в том числе и для компонентов Docker.
Облегчите жизнь вашим сторожам-охранникам, закрыв дырки в заборе о которых они могут не знать.
4.Настройте ограничение прав.
Хоть и эффективная рекомендация, но не использую... и голова не болит.
sanek-xf
09:07:24 2019-03-05
sgolden
08:38:28 2019-03-05
blade79
08:35:54 2019-03-05
Natalya_2017
08:32:53 2019-03-05
cpp
08:29:54 2019-03-05
Неуёмный Обыватель
08:07:12 2019-03-05
Sasha50
07:42:00 2019-03-05
Vlad X
07:38:09 2019-03-05
vkor
07:36:33 2019-03-05
ka_s
07:08:26 2019-03-05
L1t1um
06:11:59 2019-03-05
Korney
04:24:01 2019-03-05
"Получаемые из каких-либо источников образы должны проверяться антивирусом до начала их использования." - а вот
этот пункт обязателен!