Weaponizing Distroless
Що таке Дистролес
Контейнер Distroless - це тип контейнера, який містить лише необхідні залежності для запуску конкретного додатка, без будь-якого додаткового програмного забезпечення або інструментів, які не є обов'язковими. Ці контейнери призначені бути легкими та безпечними наскільки це можливо, і вони спрямовані на мінімізацію поверхні атаки, видаляючи будь-які зайві компоненти.
Контейнери Distroless часто використовуються в виробничих середовищах, де безпека та надійність є найважливішими.
Деякі приклади контейнерів Distroless:
Надано Chainguard: https://github.com/chainguard-images/images/tree/main/images
Збройовий Дистролес
Метою збройованого контейнера Distroless є можливість виконання довільних бінарних файлів та навантажень навіть за обмежень, що випливають з Distroless (відсутність загальних бінарних файлів у системі) та також захистів, які часто зустрічаються в контейнерах, таких як тільки для читання або без виконання в /dev/shm
.
Через пам'ять
З'явиться приблизно в 2023 році...
Через існуючі бінарні файли
openssl
****У цьому пості пояснюється, що бінарний файл openssl
часто зустрічається в цих контейнерах, ймовірно, тому що він необхідний для програмного забезпечення, яке буде запущено всередині контейнера.
Зловживанням бінарним файлом openssl
можливо виконати довільні дії.
Last updated