Një grup prej katër dobësish në komponentët e motorit të kontejnerëve është zbuluar nga studiuesit, të cilët i kanë quajtur ato "Anije që rrjedhin". Tre nga këto dobësi i lejojnë sulmuesit të dalin nga kontejnerët dhe të ekzekutojnë veprime me qëllim të keq në sistemin bazë pritës.

Dobësia më urgjente, e përcaktuar si CVE-2024-21626, ndikon në runC, kohëzgjatjen e lehtë të kontejnerit për Docker dhe mjedise të tjera të kontejnerëve. Ajo ka një rezultat të ashpërsisë prej 8.6 nga 10 në shkallën CVSS. Sipas Rory McNamara, një studiues i sigurisë së stafit në Snyk, dobësia runC mundëson arratisjen e kontejnerit si në kohën e ndërtimit ashtu edhe në kohën e ekzekutimit të kontejnerit. Skenari i rastit më të keq është që një sulmues me akses të paautorizuar në një sistem operativ bazë të hostit mund të ketë akses në çdo gjë tjetër që funksionon në të njëjtin host, duke përfshirë kredencialet kryesore që mund të përdoren për të nisur sulme të mëtejshme.

Tre dobësitë e tjera prekin BuildKit, veglat e paracaktuar të ndërtimit të imazhit të kontejnerit për Docker. Njëri prej tyre (CVE-2024-23651) përfshin një gjendje gare që lidhet me mënyrën se si montohen shtresat e cache gjatë kohës së ekzekutimit. Një tjetër (CVE-2024-23653) prek një model sigurie në protokollin e thirrjes së procedurës në distancë të BuildKit, ndërsa cenueshmëria e tretë (CVE-2024-23652) është një e metë e fshirjes së skedarit gjithashtu në BuildKit. Snyk, i cili zbuloi të metat dhe i raportoi ato në Docker, ka këshilluar organizatat që të kontrollojnë për përditësime nga çdo shitës që ofron mjediset e tyre të kohës së funksionimit të kontejnerëve, duke përfshirë shitësit e Docker, Kubernetes, shërbimet e kontejnerëve cloud dhe komunitetet me burim të hapur.

Dy nga dobësitë e Docker BuildKit (CVE-2024-23651 dhe CVE-2024-23653) janë vetëm arratisje në kohën e ndërtimit, ndërsa cenueshmëria përfundimtare e Docker (CVE-2024-23652) është një fshirje arbitrare e skedarit pritës.

Problemi në rritje i dobësive të kontejnerëve në organizatat e ndërmarrjeve është theksuar nga studimet e fundit. Një studim i kryer nga Sysdig vitin e kaluar zbuloi se 87% imazhe të kontejnerëve në prodhim kanë të paktën një cenueshmëri me ashpërsi të lartë ose kritike. Nxitimi nga organizatat për të vendosur aplikacione cloud pa i kushtuar vëmendjen e duhur çështjeve të sigurisë është identifikuar si arsyeja kryesore për përqindjen e lartë të dobësive.

Hulumtimet nga Rezilion në 2023 gjetën gjithashtu qindra imazhe të kontejnerëve Docker që përmbajnë dobësi që mjetet standarde të zbulimit të cenueshmërisë dhe analizës së përbërjes së softuerit nuk ishin në gjendje t'i zbulonin. Si rezultat, perceptimet rreth sigurisë së kontejnerëve kanë ndryshuar, me një anketë nga D-Zone që tregon se vetëm 51% e të anketuarve e përshkruan kontejnerimin si i bën aplikimet e tyre më të sigurta, krahasuar me 69% në vitin 2021. Kjo tregon një rënie në përfitimet e perceptuara të sigurisë nga kontejnerizimi.

Sipas McNamara, katër dobësitë e zbuluara nga Snyk janë relativisht të thjeshta për t'u shfrytëzuar dhe zakonisht përfshijnë më pak se një Dockerfile me 30 rreshta. Megjithatë, një kërkesë e lartë aksesi është e nevojshme për të shfrytëzuar të metat. Për ta bërë këtë, një sulmues duhet të jetë në gjendje të drejtojë një kontejner arbitrar në objektiv, të ndërtojë një enë arbitrare në objektiv, ose të komprometojë një kontejner në rrjedhën e sipërme ose të bëjë që një sistem viktimë të përdorë një kontejner të kontrolluar në rrjedhën e sipërme. Veçanërisht, dobësitë nuk janë të ekzekutueshme nga distanca, përveç në kuptimin që Kubernetes dhe mjediset e prekura në mënyrë të ngjashme janë të aksesueshme në rrjet.

Si përfundim, zbulimi i këtyre dobësive dhe ndikimi i mundshëm në aplikacionet e kontejnerëve është një kujtesë e qartë e nevojës që organizatat t'i japin përparësi sigurisë së mjediseve të tyre të kontejnerëve. Me përqindje të larta të imazheve të kontejnerëve në prodhim që zbulohen se kanë dobësi, është thelbësore që organizatat të qëndrojnë të përditësuara për arnimet e sigurisë dhe të monitorojnë në mënyrë aktive mjediset e tyre të kontejnerëve për kërcënime të mundshme.

Lidhja e burimit