惡意軟體就在Docker容器中？

研究人員們警告稱，docker容器很可能成為惡意軟體感染的完美掩飾環境。

在本屆於拉斯維加斯召開的2017美國黑帽大會上，aqu security公司研究人員michael cherny與sagie dulce指出，docker api可被用於實現遠端**執行與安全機制迴避等目的。

作為開發人員群體當中人氣極高的**測試方案，docker能夠建立起一套完整的it堆疊（包含作業系統、韌體以及應用程式），用以在容器這一封閉環境當中進行**執行。儘管其結構本身非常適合實現**測試，但容器技術亦可能被攻擊者用於在企業環境內進行惡意軟體感染。

研究人員們解釋稱，攻擊者不僅能夠在企業網路之內執行惡意軟體**，同時亦可在過程當中配合較高執行許可權。

在攻擊當中，惡意一方往往會誘導受害者開啟受控網頁，而後使用rest api呼叫執行docker build命令，藉以建立起能夠執行任意**的容器環境。通過一種名為「主機重繫結」的技術，攻擊者能夠繞過同源政策保護機制並獲得底層moby linux虛擬機器當中的root訪問能力。

如此一來，攻擊者將能夠竊取開發者登入憑證、在開發者裝置上執行惡意軟體或者將惡意軟體注入至容器映象之內，進而在該容器的每一次啟動當中實現感染傳播。

作者們解釋稱，「在攻擊完成之後，攻擊者將獲取到受害者網路的完全訪問能力，並在其中駐留持久**。由於這部分**執行在moby linux虛擬機器當中，因此很難被檢測發現。」

門扉大開

更令人憂心的是，容器與開發者帳戶往往擁有高階系統訪問許可權。當在本地開發者的pc裝置上執行docker時，其極易受到跨站點偽造攻擊等入侵手段的影響，意味著攻擊者將能夠利用tcp請求處理等安全缺陷實現惡意目的。

研究人員們指出，「事實上，每一位安裝有docker for windows的開發者都會在基本地裝置上直接執行docker。這主要是因為，即使docker守護程式與容器執行在虛擬機器環境之下，docker客戶端仍然能夠同主機守護程式進行通訊。」

aqua security公司表示其已經將其中一種攻擊向量——即存在安全缺陷的tcp元件——上報至docker方面，對方則發布了更新對其進行修復。

然而，cherny與dulce表示docker當中還存在著其它一些可資利用的漏洞，這不僅可被用於感染容器，同時亦會影響到系統上執行的其它虛擬機器乃至主機裝置。

「大家必須對映象進行掃瞄以消除可被利用的惡意軟體或者安全漏洞。另外，執行時保護機制能夠幫助您的容器擁有與預期相符的運作效果，且不致執行任何惡意行為。」

原文發布時間為：2023年7月30日