it only took 2 lines of code...
Summary
TLDRВ этом видео обсуждается уязвимость в Docker Desktop, позволяющая злоумышленникам выйти из изолированного контейнера и получить доступ к хостовой системе Windows. Уязвимость возникла из-за неправильно настроенного API, который позволяет контейнерам выполнять привилегированные операции. Исследователь безопасности, Феликс, случайно обнаружил эту проблему, выполняя сканирование сетевых портов. В видео объясняется, как можно использовать уязвимость для получения доступа к файловой системе хоста и каким образом можно защититься, используя минимизированные образы контейнеров от ChainGuard.
Takeaways
- 🐳 Docker позволяет запускать контейнеры, которые изолируют код и создают иллюзию полной операционной системы без необходимости использовать полноценные виртуальные машины.
- 🔒 Контейнеры обеспечивают изоляцию не только друг от друга, но и от операционной системы, снижая риски вмешательства в системные файлы.
- ⚠️ Уязвимость CVE-20259074 обнаружена не в Docker как технологии, а в реализации Docker Desktop, которая открывает API для контейнеров без аутентификации.
- 💻 Эксплуатация уязвимости позволяет контейнеру монтировать диск C Windows-хоста и выполнять произвольные операции с файлами, обходя изоляцию.
- 🛠 Пример атаки: из контейнера можно послать HTTP-запрос к API Docker Desktop и создать новый контейнер с доступом к файлам хоста.
- 🎯 Уязвимость затрагивает Docker Desktop на Windows и частично на Mac OS, но не на обычных Linux-системах.
- 🔍 Исследование безопасности часто начинается с простого изучения доступных сетевых сервисов и API, как это сделал исследователь Felix.
- 🧩 Важное правило безопасности: каждый endpoint контрольной плоскости, даже внутренний, должен требовать аутентификацию.
- 🖥 Использование минимальных образов контейнеров с низким количеством CVE, таких как ChainGuard, снижает риск уязвимостей.
- 📚 Новички в области безопасности могут изучать систему, искать аномалии и ошибки, чтобы находить баги и улучшать безопасность приложений.
Q & A
Что такое Docker image и чем он отличается от виртуальной машины?
-Docker image — это контейнер, который содержит код и минимальный набор компонентов операционной системы для его выполнения. В отличие от виртуальной машины, он не включает полный ОС-блок, что делает его легче и быстрее в развертывании.
Что такое контейнеризация и какие преимущества она дает?
-Контейнеризация позволяет запускать приложения в изолированной среде (контейнере), предоставляя одинаковые условия выполнения на всех системах. Это облегчает разработку, тестирование и деплой, а также обеспечивает изоляцию процессов и файловой системы.
В чем суть уязвимости CVE-2025-9074 в Docker Desktop?
-Уязвимость позволяет контейнеру обойти изоляцию и получить доступ к файловой системе хоста, включая диск C на Windows. Проблема возникает из-за открытого API Docker Desktop без аутентификации.
Какие платформы затронуты этой уязвимостью?
-Основная проблема возникает на Windows и частично на macOS. Версии Linux Docker Desktop не затронуты.
Как исследователь Феликс обнаружил эту уязвимость?
-Феликс случайно наткнулся на открытый API при сканировании сетей изнутри контейнера и, экспериментируя с запросами, обнаружил возможность создавать контейнеры с доступом к файловой системе хоста.
Какие действия может выполнить злоумышленник, используя эту уязвимость?
-Злоумышленник может монтировать диск C в контейнер, читать и записывать файлы, потенциально удалять или изменять данные, запускать вредоносный код.
Как можно снизить риски от подобных уязвимостей?
-Необходимо использовать аутентификацию для всех API-контроллеров, тщательно проверять загружаемые образы и использовать минимизированные, безопасные контейнерные образы, такие как предоставляемые ChainGuard.
Что делает ChainGuard и чем он полезен?
-ChainGuard предоставляет минимальные Docker образы с низким числом CVE и быстродействующим SLA по исправлению уязвимостей. Это уменьшает размер образа и повышает безопасность приложений.
Почему уязвимость не считается проблемой самой технологии Docker?
-Проблема не в Docker как технологии контейнеризации, а в конкретной реализации Docker Desktop и открытом API без аутентификации, что создает возможность обхода изоляции.
Какие уроки можно извлечь для начинающих исследователей безопасности?
-Начинающим исследователям стоит обращать внимание на необычные или подозрительные элементы в среде, экспериментировать и проверять гипотезы, как это сделал Феликс. Иногда ошибки появляются из-за неожиданных предположений о доверии к компонентам.
Что такое namespace в Linux и как он помогает контейнерам?
-Namespace в Linux создает изолированные пространства для процессов, файловой системы и пользователей, позволяя контейнеру видеть виртуальную среду, будто он управляет всей системой, хотя на самом деле он ограничен.
Почему Windows версия Docker Desktop более уязвима, чем macOS?
-На Windows открытый API позволяет полностью монтировать диск C и получать доступ к файлам без аутентификации, тогда как на macOS есть некоторые всплывающие запросы, ограничивающие действия контейнера.
Outlines

This section is available to paid users only. Please upgrade to access this part.
Upgrade NowMindmap

This section is available to paid users only. Please upgrade to access this part.
Upgrade NowKeywords

This section is available to paid users only. Please upgrade to access this part.
Upgrade NowHighlights

This section is available to paid users only. Please upgrade to access this part.
Upgrade NowTranscripts

This section is available to paid users only. Please upgrade to access this part.
Upgrade NowBrowse More Related Video

New D&D 2024 Player's Handbook: Jeremy Crawford Explains Backwards Compatibility!

SIMPLE Way I Make $1,000 Daily With Chat GPT / YouTube (FOR FREE!)

Как побороть неудачу? Рав. Каминецкий и Сара о браха, мазал, цдака и как не выпасть из потока

В Армении хотят вступить в союзное государство с РФ

Недовольство собой. Комплекс неполноценности. Темная сторона личности

Plato's Republic Part 2, Books I & II Justice and the Ring of Gyges
5.0 / 5 (0 votes)