提供容器安全服务的Aqua Security上周藉由黑帽(Black Hat)骇客会议发表一研究报告,指称容器开发者很可能成为骇客攻击目标,并展示了攻击行径,以证明相关威胁不只是个理论,且该被认真看待。
近来颇受开发人员欢迎的容器技术属於轻量的虚拟技术,它能打包并隔离程式,也让程式更容易移植,其中更以Docker最受青睐。根据统计,全球约有1400万个Docker主机,有超过90万个Docker程式,近年来所列出的Docker职缺成长了77000%,Docker专案的贡献者达到3300名。
Aqua Security在上周展示了攻击Docker开发人员的手法,先将Docker开发人员诱导至骇客所控管的网页,利用Docker API执行非特权的程式,接着展开主机重新绑定(Host Rebinding)攻击,以取得受害者机器上的Docker守护进程控制权,这时骇客已可呼叫任何Docker API,最後再於Docker中植入影子容器,以长驻於Hypervisor中。
Aqua Security安全研究负责人Michael Cherny表示,也许有些人认为锁定开发者的攻击并不会对企业带来真正的威胁,但事实上开发人员不但具备较高的工作站权限,还有许多拥有管理员权限,他们经常能够存取重要的原始码或与应链系统、测试资料库或测试环境,有些还能存取生产环境。
有监於开发人员也会不时进行某些看起来有恶意嫌疑的操作,於是选择关闭安全控制,更容易出现安全空窗。再者,若骇客真的掌控了容器管理员的工作站,也将有能力污染开发人员所建置的映像档,而让骇客将触角延伸至生产环境。
