Lebih daripada setahun selepas backdoor terkenal XZ Utils menggegarkan dunia keselamatan siber, penyelidik keselamatan telah menemui bahawa imej Docker yang terjejas masih tersedia secara awam di Docker Hub. Penemuan ini menyerlahkan masalah berterusan dalam keselamatan kontena yang melangkaui insiden khusus ini.
Backdoor XZ Utils, yang dimasukkan oleh pembangun Jia Tan pada Mac 2024, merupakan salah satu serangan rantaian bekalan paling canggih yang pernah ditemui. Kod hasad tersebut menyasarkan pelayan SSH dengan mengait ke dalam fungsi penyulitan, berpotensi membenarkan penyerang mendapat akses tanpa kebenaran ke sistem yang dijangkiti. Walaupun backdoor tersebut telah dikenal pasti dengan cepat dan ditampal dalam pengedaran Linux utama, warisannya terus menghantui ekosistem kontena.
 |
|---|
| Artikel ini membincangkan pintu belakang XZ Utils dan implikasinya terhadap keselamatan kontena, menyerlahkan risiko berterusan dalam imej Docker |
Imej Docker Menjadi Repositori Jangka Panjang untuk Kerentanan
Analisis terkini Pasukan Penyelidikan Binarly terhadap Docker Hub mendedahkan lebih 35 imej yang masih mengandungi backdoor XZ, dengan tumpuan utama pada kontena berasaskan Debian. Respons komuniti terhadap penemuan ini bercampur-campur, dengan ramai yang mempersoalkan sama ada ini mewakili ancaman keselamatan sebenar atau sekadar tingkah laku yang dijangka daripada imej kontena yang tidak boleh diubah.
Isu teras berpunca daripada cara imej Docker berfungsi sebagai syot kilat yang tidak boleh diubah. Setelah dicipta, imej-imej ini mengekalkan keadaan tepat pakej perisian pada masa pembinaan, termasuk sebarang kerentanan yang wujud. Ini bermakna kontena yang dibina semasa tetingkap singkat ketika pakej XZ yang mengandungi backdoor tersedia terus membawa risiko tersebut selama-lamanya.
Walau bagaimanapun, kesan praktikal kekal terhad. Backdoor tersebut secara khusus menyasarkan pelayan SSH, yang jarang dijalankan di dalam kontena. Kebanyakan aplikasi berkontena mengikuti amalan terbaik yang mengelakkan menjalankan daemon SSH, menjadikan senario eksploitasi tidak biasa dalam penggunaan biasa.
Gambaran Keseluruhan Sistem Terjejas
- Imej Dijumpai: 35+ imej Docker mengandungi backdoor XZ
- Sasaran Utama: Imej kontainer berasaskan Debian
- Garis Masa Penemuan: Lebih 1 tahun selepas pengesanan backdoor awal ( Mac 2024 )
- Keperluan Eksploitasi: Pelayan SSH berjalan dalam kontainer + akses rangkaian
- Status Semasa: Imej kekal tersedia secara awam di Docker Hub
Komuniti Memperdebatkan Amalan Keselamatan Docker
Penemuan ini telah mencetuskan semula perbincangan tentang amalan keselamatan kontena dalam komuniti pembangunan. Ada yang berhujah untuk meninggalkan Docker sepenuhnya memihak kepada mesin maya tradisional, memetik kesukaran menjejaki kerentanan merentasi ekosistem luas imej yang diselenggara komuniti.
Yang lain menunjukkan bahawa isu ini tidak unik kepada kontena. VM tradisional dan sistem logam kosong menghadapi cabaran serupa apabila menggunakan pakej perisian lapuk. Perbezaan utama ialah sifat tidak boleh diubah Docker menjadikan kerentanan ini lebih kelihatan dan boleh dijejaki, bukannya tersembunyi dalam sistem yang berjalan lama yang mengumpul tampalan dari masa ke masa.
Imej kontena adalah sistem fail yang dibungkus secara literal tidak boleh diubah jadi versi lama pakej yang terjejas berada dalam imej Docker lama untuk setiap CVE yang pernah ditampal dalam Debian.
Perdebatan meluas kepada amalan pengurusan repositori. Walaupun sesetengah penyelidik keselamatan meminta pembuangan imej yang terjejas, Docker Hub dan repositori serupa secara amnya mengelak daripada memadam artifak yang terdedah untuk mengekalkan binaan yang boleh dihasilkan semula dan memelihara bukti sejarah.
Butiran Teknikal Backdoor XZ
- Kaedah Penyisipan: Pengubahsuaian IFUNC resolvers dalam perpustakaan liblzma.so
- Fungsi Sasaran: RSA_public_decrypt, RSA_get_key, EVP_PKEY_get1_RSA
- Pengedaran Terjejas: Debian (testing), Fedora, OpenSUSE
- Kelengkapan Backdoor: 90% kod backdoor hadir dalam imej yang ditemui
- Alat Pengesanan: Alat analisis statik XZfind (percuma, dikeluarkan oleh Binarly)
Cabaran Rantaian Bekalan yang Lebih Luas
Insiden ini menggambarkan cabaran asas dalam rantaian bekalan perisian moden. Malah kerentanan yang berumur pendek boleh mempunyai kesan yang berpanjangan kerana ia tertanam dalam imej terbitan dan saluran paip binaan automatik. Backdoor XZ tidak pernah sampai ke dalam keluaran stabil Debian, namun ia kekal dalam imej ujian yang biasa digunakan pembangun untuk pembangunan aktif.
Situasi menjadi lebih kompleks apabila mempertimbangkan ekonomi penggunaan awan. Memindahkan beratus-ratus aplikasi ke VM individu boleh menelan kos puluhan ribu dolar bulanan, menjadikan kontena pilihan menarik walaupun terdapat pertukaran keselamatan. Tekanan ekonomi ini sering membawa pasukan untuk menerima tahap risiko tertentu sebagai pertukaran untuk kecekapan operasi.
Pakar keselamatan mengesyorkan memberi tumpuan kepada asal usul imej dan kemas kini berkala daripada mengelakkan kontena sepenuhnya. Organisasi harus mengaudit imej asas mereka, melaksanakan pengimbasan kerentanan automatik, dan mengekalkan dasar yang jelas tentang sumber imej mana yang boleh diterima untuk kegunaan pengeluaran.
Saga backdoor XZ Utils berfungsi sebagai peringatan bahawa keselamatan rantaian bekalan memerlukan kewaspadaan berterusan. Walaupun ancaman segera daripada imej Docker yang berlarutan ini mungkin terhad, ia mewakili corak yang lebih luas tentang bagaimana insiden keselamatan boleh mempunyai kesan yang berpanjangan di seluruh ekosistem perisian. Kuncinya ialah membina sistem yang boleh mengenal pasti dan bertindak balas terhadap ancaman sedemikian dengan cepat, bukannya berharap ia tidak akan berlaku.
Rujukan: Persistent Risk: XZ Utils Backdoor Still Lurking in Docker Images