계: Environment

이 섹션에는 소스 코드 외부에 있지만 제작 중인 제품의 보안에는 여전히 중요한 내용이 모두 포함되어 있습니다. 이 섹션에서 다루는 문제들은 소스 코드와 직접적으로 관련이 없기 때문에 나머지 섹션과 분리했습니다.

Dockerfile Misconfiguration: Dependency Confusion

Abstract
비특정 버전을 사용하여 빌드 종속성을 검색하면 빌드 시스템이 악성 바이너리에 취약해지거나 시스템에서 예기치 않은 동작이 발생할 수 있습니다.
Explanation
Dockerfile은 종속성 및 기본 이미지에 대해 바인딩되지 않은 버전 범위를 지정할 수 있습니다. 공격자가 리포지토리에 악성 버전의 종속성을 추가하거나 공격자의 제어 하에 있는 리포지토리에서 종속성을 다운로드하도록 빌드 시스템을 교란할 수 있는 상황에서 Docker가 특정 버전의 종속성 없이 구성되어 있으면 Docker는 손상된 종속성을 자동으로 다운로드하고 실행합니다.

이러한 유형의 약점은 공격자가 개발자의 구성 오류, 타이포스쿼팅을 활용하고 오픈 소스 리포지토리에 악성 패키지를 추가할 수 있는 공급망 공격의 결과로 악용될 수 있습니다. 이 유형의 공격은 게시된 패키지의 신뢰를 악용하여 액세스 권한을 얻고 데이터를 반출합니다.

Docker에서 latest 태그는 이미지의 버전을 제공하기 위한 다이제스트 또는 고유 태그를 사용하지 않고 이미지의 버전 수준을 자동으로 나타냅니다. Docker는 최신 이미지 매니페스트 파일을 가리키는 메커니즘으로 latest 태그를 자동으로 할당합니다. 태그는 변경이 가능하기 때문에 공격자는 latest(또는 imagename-lst, imagename-last, myimage와 같은 약한 태그)를 사용하여 이미지 또는 계층을 바꿀 수 있습니다.

예제 1: 다음 구성은 Docker에 ubuntu의 최신 버전을 사용하는 기본 이미지를 선택하도록 지시합니다.

    FROM ubuntu:Latest
    ...


Docker는 패키지 관리자를 지원하도록 구성된 리포지토리의 신뢰성을 검증하지 않습니다.

예제 2: 다음 구성은 패키지 관리자 zypper에 지정된 패키지의 최신 버전을 검색하도록 지시합니다.

...
zypper install package
...
Example 2에서 리포지토리가 손상된 경우 공격자는 동적 기준을 충족하는 버전을 업로드하고 zypper로 하여금 종속성의 악성 버전을 다운로드하도록 할 수 있습니다.

References
[1] Best practices for writing Dockerfile
[2] Standards Mapping - Common Weakness Enumeration CWE ID 20
[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [3] CWE ID 020
[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [3] CWE ID 020
[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [4] CWE ID 020
[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [4] CWE ID 020
[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [6] CWE ID 020
[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020
[9] Standards Mapping - FIPS200 CM
[10] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.1.3 Input Validation Requirements (L1 L2 L3), 5.1.4 Input Validation Requirements (L1 L2 L3)
[12] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[13] Standards Mapping - OWASP Mobile 2024 M2 Inadequate Supply Chain Security
[14] Standards Mapping - OWASP Top 10 2004 A10 Insecure Configuration Management
[15] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[16] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[17] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[18] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.10
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4
[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection
[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection
[29] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 020
[30] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.configuration.docker.dockerfile_misconfiguration_dependency_confusion