0
0
Rezilion descobriu a presença de centenas de imagens de contêiner Docker contendo vulnerabilidades que não são detectadas pela maioria dos scanners de vulnerabilidade padrão e ferramentas SCA.
A pesquisa revelou inúmeras vulnerabilidades críticas/de alta gravidade ocultas em centenas de imagens populares de contêineres, baixadas bilhões de vezes coletivamente. Isso inclui vulnerabilidades de alto perfil com explorações conhecidas publicamente.
Algumas das vulnerabilidades ocultas são conhecidas por serem exploradas ativamente na natureza e fazem parte do catálogo de vulnerabilidades exploradas conhecidas da CISA , incluindo CVE-2021-42013, CVE-2021-41773, CVE-2019-17558.
A pesquisa se aprofunda em uma das causas principais identificadas na avaliação – a incapacidade de detectar componentes de software não gerenciados por gerenciadores de pacotes.
O estudo explica como o método inerente de operação de scanners de vulnerabilidade padrão e ferramentas SCA depende da aquisição de dados de gerenciadores de pacotes para saber quais pacotes existem no ambiente verificado, tornando-os suscetíveis a pacotes de software vulneráveis ausentes em vários cenários comuns nos quais o software é implantado de maneiras que contornam esses gerenciadores de pacotes. Esta pesquisa mostra precisamente o tamanho dessa lacuna e seu impacto nas organizações que usam software de terceiros.
De acordo com o relatório, os gerenciadores de pacotes que contornam os métodos de implantação são comuns nos contêineres do Docker. A equipe de pesquisa identificou mais de 100.000 imagens de contêiner que implantam código de uma forma que ignora os gerenciadores de pacotes, incluindo a maioria das imagens de contêiner oficiais do DockerHub. Esses contêineres já contêm vulnerabilidades ocultas ou tendem a ter vulnerabilidades ocultas se uma vulnerabilidade em um desses componentes for identificada.
Os pesquisadores identificaram quatro cenários diferentes nos quais o software é implantado sem interação com gerenciadores de pacotes, como o próprio aplicativo, tempos de execução necessários para a operação do aplicativo, dependências necessárias para o funcionamento do aplicativo e dependências necessárias para o processo de implantação/construção do aplicativo que não são excluídos no final do processo de criação da imagem do contêiner e mostra como as vulnerabilidades ocultas podem encontrar seu caminho para as imagens do contêiner.
“Esperamos que esta pesquisa eduque desenvolvedores e profissionais de segurança sobre a existência dessa lacuna, para que possam tomar as ações apropriadas para minimizar o risco, bem como incentivar fornecedores e projetos de código aberto a adicionar suporte para esses tipos de cenários, ” disse Yotam Perkal , diretor de pesquisa de vulnerabilidade da Rezilion. “É importante observar que, desde que os scanners de vulnerabilidade e as ferramentas SCA não consigam acomodar essas situações, qualquer imagem de contêiner que instale pacotes ou executáveis dessa maneira pode eventualmente conter vulnerabilidades ‘ocultas’ se algum desses componentes se tornar vulnerável.”
FONTE: HELPNET SECURITY