Rezilion發(fā)現(xiàn)了數(shù)百個Docker容器鏡像的存在，這些鏡像包含了大多數(shù)標準漏洞掃描器和SCA工具都沒有檢測到的漏洞。

研究發(fā)現(xiàn)，數(shù)百個Docker容器鏡像中隱藏著許多高危險性/關(guān)鍵性的漏洞，這些容器鏡像的下載量合計達數(shù)十億次。其中包括已被公開的高知名漏洞。

一些隱藏的漏洞在野外被積極利用，這些漏洞是CISA已知被利用漏洞合集中的一部分，包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。

經(jīng)過研究發(fā)現(xiàn)漏洞存在的根本原因是無法檢測未被軟件包管理器管理的軟件組件。

該研究解釋了標準漏洞掃描器和SCA工具的固有操作方法是如何依靠從軟件包管理器獲取數(shù)據(jù)來了解掃描環(huán)境中存在哪些軟件包的，這使得它們?nèi)菀自诙喾N常見情況下遺漏易受攻擊的軟件包，即軟件的部署方式規(guī)避了這些軟件包管理器。

根據(jù)該報告，規(guī)避部署方式的軟件包管理器在Docker容器中很常見。研究小組已經(jīng)發(fā)現(xiàn)了超過10萬個以繞過軟件包管理器的方式部署代碼的容器鏡像，包括DockerHub的大多數(shù)官方容器鏡像。這些容器要么已經(jīng)包含隱藏的漏洞，要么在其中一個組件的漏洞被發(fā)現(xiàn)后容易出現(xiàn)隱藏的漏洞。

研究人員確定了四種不同的情況，在這些情況下，軟件的部署沒有與軟件包管理器進行交互，如應(yīng)用程序本身、應(yīng)用程序所需的運行、應(yīng)用程序工作所需的依賴性，以及在容器鏡像構(gòu)建過程結(jié)束時沒有刪除的應(yīng)用程序部署，并展示了隱藏的漏洞如何找到容器鏡像。

"我們希望這項研究能讓開發(fā)者和安全從業(yè)者了解這一漏洞的存在，這樣他們就能采取適當?shù)男袆觼頊p少風險，并推動供應(yīng)商和開源項目增加對這些類型場景的支持，"Rezilion公司漏洞研究部主任Yotam Perkal說。"

最后需要提醒大家的是，只要漏洞掃描程序和SCA工具無法適應(yīng)這些情況，任何以這種方式安裝軟件包或可執(zhí)行文件的容器映像最終都可能包含'隱藏'漏洞。