Глава 13

В этой главе рассмотрим способы осуществления атак на контейнеры приложений. Docker – безусловно, самая популярная система управления контейнерами, и на предприятиях ее используют чаще, чем другие подобные системы. Мы рассмотрим, как неправильная конфигурация,допущения и небезопасное развертывание могут привести к полной компрометации не только целевого, но и смежных приложений.

«ОбразконтейнераDocker–этолегкий,автономноисполняемыйпа- кет программного обеспечения, в который входит все необходимое для запуска приложения: код, среда выполнения, системные инструменты, системные библиотеки и настройки.[...] Будучи доступным как прило- жение на базе Linux и Windows, программное обеспечение контейнеров всегда будет работать одинаково независимо от инфраструктуры. Контейнеры изолируют программное обеспечение от его среды и обес­ печивают его равномерную работу, несмотря на различия, например, между разработкой и переносом данных».

– Docker

Приотсутствииконтекстаможнобылобыподумать,чтопредыдущаяцитата описывает виртуальные машины (ВМ). В конце концов, мы можем упаковывать приложения внутри виртуальной машины и развертывать их на любом хосте,не опасаяськонфликтов.Однако между виртуальными машинами и контейнерами существует ряд фундаментальных различий. Злоумышленника интересует их изоляция или их отсутствие.

В этой главе вы узнаете следующее:

что представляют из себя контейнеры Docker и Linux;

чем приложения Docker отличаются оттрадиционных приложений;

как использовать Docker для компрометации целевого приложения и в конечном итоге хоста.

На рисунке показано, как контейнеры запускают полные наборы приложений, не конфликтуя друг с другом. Заметная разница между этим и традици-

Рис.13.2. Разница между контейнерами Docker и традиционными гипервизорами

(источник: Docker)

Демон Docker работает в операционной системе хоста и абстрагирует прикладной уровень, а гипервизоры абстрагируют аппаратный уровень. Тогда зачем развертывать контейнеры, если они не полностью изолируют приложе- ния?Ответпрост–унихнизкаястоимость.Контейнерылегки,простывсборке и развертывании и обеспечивают достаточную изоляцию, чтобы устранить конфликты на уровне приложений, что решает проблему «в моем окружении все работает», с которой сегодня сталкиваются многие разработчики.

Приложение работает на компьютере разработчика точно так же, как в эксплуатационной среде или совершенно другом дистрибутиве Linux. Вы даже можете запускать контейнеры, упакованные в Linux, в последних версиях Windows. Трудно спорить с переносимостью и гибкостью, которую обеспечивают контейнеры и Docker. Хотя виртуальные машины могут делать то же самое, для успешного запуска приложения на виртуальной машине требуется полная операционная система. Прибавим сюда требования к дисковому пространству и процессору и общие затраты на производительность.

Как уже упоминалось, Docker не единственная контейнерная технология, но она, безусловно, самая популярная. Docker – это, по сути, простой способ управления контрольными группами и пространствами имен. Контрольные группы – это функция ядра Linux, которая обеспечивает изоляцию ресурсов компьютера, таких как процессор, сеть и дисковые операции ввода-вывода. Docker также предоставляет централизованный Docker Hub, который сооб­ щество может использовать для загрузки своих собственных образов контейнеров и обмена ими с другими.

Модель Docker реализует архитектуру «клиент–сервер», которая, по сути, транслируется в демона Docker, управляющего контейнерами на хосте, и клиента, управляющего демоном через API, предоставляемый этим демоном.

Такая мощная технология, как Docker и его контейнеры, иногда может вносить сложность в жизненный цикл приложения, что обычно не сулит ничего хорошего для безопасности. Возможность быстрого развертывания, тестирования и разработки приложений в масштабе, безусловно, имеет свои преимущества,но это позволитуязвимостям слегкостью просочиться сквозьэти трещины.

Программное обеспечение является настолько же безопасным, насколько безопасна его конфигурация. Если у приложения отсутствуют исправления или оно не заблокировано должным образом, это значительно увеличивает поверхность атаки и вероятность компрометации. Docker не исключение, и конфигурации по умолчанию обычно недостаточно. Мы воспользуемся этими проблемами конфигурации и ошибками развертывания.

Компрометация приложения, работающего в контейнере,– это неплохо, но повышение привилегий до уровня доступа к хост-машине–вишенка наторте. Чтобы проиллюстрировать влияние плохо настроенных и небезопасно развернутых контейнеров Docker, будем использовать Vulnerable Docker VM от компании NotSoSecure. Это хорошо составленная виртуальная машина, которая демонстрирует некоторые критические и вместе с тем распространенные проблемы, связанные с развертыванием Docker.

Пакет VM доступен для загрузки на сайте NotSoSecure: https:// www.notsosecure.com/vulnerable-docker-vm/.

После подготовки и запуска виртуальной машины на экране консоли отобразится­ IP-адрес, выданный DHCP-сервером (рис. 13.3). Для ясности будем использовать vulndocker.internal в качестве домена, указывающего на экземпляр Docker.

Приложение работает в контейнере, предоставленном хостом Docker vulndocker.internal на порту 8000. В реальном сценарии это было бы приложение, работающее на распространенных портах, таких как 80 или 443. Как правило, NGINX (или аналогичный веб-сервер) будет проксировать HTTP-трафик между приложением и злоумышленником,скрывая ряд других портов, которые хост Docker обычно открывает. Злоумышленник должен сосредоточиться на уязвимостях приложений, чтобы получить доступ к хосту

Docker.

Рис.13.3. Приглашение для входа уязвимой виртуальной машины Docker

Плацдарм

Взаимодействуя с веб-приложением, предоставляемым виртуальной машиной Docker, мы замечаем,что это экземпляр WordPress (рис. 13.4).

Рис.13.4. Приложение WordPress,обслуживаемое виртуальной машиной