docker|Docker供应链安全：通过Docker Hub公共容器镜像进行攻击供应链管理|软件|网络安全

文章图片

文章图片

文章图片

基于供应链的攻击成了时下最常见的针对信息系统攻击手段。基于供应链的攻击通常依赖性攻击向量、依赖项或产品的源代码——攻击者通过篡改和假冒一些被其他系统广泛依赖组件从而达到自己需要入侵的目的。比如去年针对SolarWinds 的攻击就是使用这种方法的典型案例之一，攻击者通过在SolarWinds 产品本身中注入木马后门来针达到入侵其他使SolarWinds 工具的系统。
针对源代码依赖组件不是唯一攻击媒介。近年来，随着云和容器技术大力发展、推广和使用，以容器作为攻击媒介已经成了供应链工具比较主流和有效的途径。
国外云原生系统安全研究团队Sysdig 同归对Docker Hub上超25万个Linux镜像进行了分析，并发布了《2022 Sysdig云原生安全使用报告》，今天我们就来学习一下相关的结论。
概述由于容器镜像被设计成可移植的，开发人员通常会共享自己制作的镜像并通过公共容器注册表进行发布。
Docker Hub 目前是最受欢迎的免费和面向公众的容器注册表。用户通过Docker Hub 发布和共享预制容器镜像，为广大用户提供了安装和配置所有必需软件的巨大优势。攻击者逐渐意识到并且开始利用这个平台，在上面发布嵌入了恶意负载的镜像。
通过简单的一键命令docker pull <image> ，这些精心布置的镜像就会下载到用户的主机或者云实例上。整个Docker Hub镜像下载和安装是不透明的；因此，用户需要应在下载前检查清单（即 Dockerfile），确保来源合法且镜像干净。
Docker HubDocker Hub 是一个基于云的容器镜像公共存储库，世界上任何人都可以在其中免费下载、创建、存储和部署 Docker 容器镜像。它提供对公共开源镜像库的访问，每个用户都可以创建自己的私有存储库来存储个人镜像。
Docker Hub 提供由Docker Library Project 审查和发布的官方镜像，确保遵循最佳实践并提供清晰的文档和定期更新。此外， Docker Hub 通过Docker Verified Publisher Program 支持独立软件供应商 (ISV) 。该计划中的开发工具供应商可以通过Docker Hub 分发受信任的 Dockerized 内容，并使用经过验证的发布者签名的镜像，从而避免用户下载恶意内容的镜像。
《2022 Sysdig云原生安全使用报告》统计数据显示， 61% 的提取镜像来自公共存储库，比 2021 年增加了15% 。这意味着公共存储库提供的灵活性和其他功能受到了广泛的赞赏用户，但与此同时，暴露于恶意镜像的风险增加。
域名仿冒、挖矿和秘密Sysdig 安全威胁研究团队构建了一个分类器来提取和收集有关Docker Hub 中最近更新镜像的信息，以确定他们在镜像层中是否包含任何异常或恶意内容。
团队提取了密码、IP 和URL 等信息，以评估特定镜像是否可能是恶意的。为了对大量镜像执行所有这些操作，提取和验证过程是自动化。 Sysdig TRT 使用多种开源工具和服务来确定 IP 和URL 是否为恶意的，方法允许对数十万张镜像的所有提取信息进行快速分析。
团队使用数月的时间里分析了超250000 个Linux 镜像，调查的重点为全球用户上传的公共镜像，并不包括官方镜像和可验证镜像。