提供容器安全服務(wù)的Aqua Security上周藉由黑帽(Black Hat)駭客會(huì )議發(fā)表一研究報告,指稱(chēng)容器開(kāi)發(fā)者很可能成為駭客攻擊目標,并展示了攻擊行徑,以證明相關(guān)威脅不只是個(gè)理論,且該被認真看待。
近來(lái)頗受開(kāi)發(fā)人員歡迎的容器技術(shù)屬於輕量的虛擬技術(shù),它能打包并隔離程式,也讓程式更容易移植,其中更以Docker最受青睞。根據統計,全球約有1400萬(wàn)個(gè)Docker主機,有超過(guò)90萬(wàn)個(gè)Docker程式,近年來(lái)所列出的Docker職缺成長(cháng)了77000%,Docker專(zhuān)案的貢獻者達到3300名。
Aqua Security在上周展示了攻擊Docker開(kāi)發(fā)人員的手法,先將Docker開(kāi)發(fā)人員誘導至駭客所控管的網(wǎng)頁(yè),利用Docker API執行非特權的程式,接著(zhù)展開(kāi)主機重新綁定(Host Rebinding)攻擊,以取得受害者機器上的Docker守護進(jìn)程控制權,這時(shí)駭客已可呼叫任何Docker API,最後再於Docker中植入影子容器,以長(cháng)駐於Hypervisor中。
Aqua Security安全研究負責人Michael Cherny表示,也許有些人認為鎖定開(kāi)發(fā)者的攻擊并不會(huì )對企業(yè)帶來(lái)真正的威脅,但事實(shí)上開(kāi)發(fā)人員不但具備較高的工作站權限,還有許多擁有管理員權限,他們經(jīng)常能夠存取重要的原始碼或與應鏈系統、測試資料庫或測試環(huán)境,有些還能存取生產(chǎn)環(huán)境。
有監於開(kāi)發(fā)人員也會(huì )不時(shí)進(jìn)行某些看起來(lái)有惡意嫌疑的操作,於是選擇關(guān)閉安全控制,更容易出現安全空窗。再者,若駭客真的掌控了容器管理員的工作站,也將有能力污染開(kāi)發(fā)人員所建置的映像檔,而讓駭客將觸角延伸至生產(chǎn)環(huán)境。
