CSDN云原生系列在线峰会｜攻方视角：从开源靶场看云原生安全

绿盟科技星云实验室长期从事云安全研究，在云原生安全研究日常工作中孵化出了Metarget靶场项目，该项目大大提高了团队的安全研究效率。为了赋能更多云原生安全研究者，推动国内外云原生安全技术发展，星云实验室于2021年5月在GitHub上开源了Metarget项目。项目一经开源便受到社区和业界的广泛关注。

到2022年5月，Metarget刚好开源一周年。在一年的时间里，有不少朋友关注并尝试Metarget，还有一些同学积极地为项目提交了代码。同时，我们也建立了“Metarget技术交流”微信群，营造了良好的云原生安全技术讨论氛围。

在Metarget的帮助下，研究人员能够构建多节点、多层次的云原生集群靶机环境，实现从容器化应用渗透测试到逃逸、横向移动、权限提升和持久化的多环节攻击链路模拟。

截至目前，Metarget共支持自动化构建超过50种不同类型的云原生漏洞场景，覆盖Docker、Kubernetes、Linux Kernel、Kata Containers等多种云原生基础设施组成程序和危险的配置、挂载等运行时操作，场景类型包括容器逃逸、权限提升、拒绝服务、中间人攻击、服务暴露、流量劫持、服务端请求伪造和命令执行等。

从Metarget覆盖的漏洞场景中，站在以攻促防的视角，我们可以观察到云原生安全的三个特点：

一、推陈出新的容器逃逸技术。容器逃逸是云原生环境下最受关注、后果也最为严重的安全问题之一。容器逃逸技术可以归为四大类：利用云原生应用程序漏洞，如Docker和Kubernetes漏洞等；利用Linux内核漏洞；利用业务容器的危险配置；利用业务容器的危险挂载项。

在开源后的一年时间里，不断有新的容器逃逸场景加入到Metarget项目中，这些场景来自上述四大类别。由此可见，容器逃逸技术在不断推陈出新，软件栈上任何层次的疏漏都可能导致逃逸。因此，我们需要持续重视容器逃逸问题，安全建设任重道远。

二、层出不穷的符号链接问题。在梳理Metarget漏洞场景的过程中，我们观察到，许多漏洞都和Linux符号链接机制有关，这些漏洞的根本原因都是开发者未能正确处理涉及符号链接的操作，其中绝大多数漏洞的后果都是容器逃逸，十分严重。因此，我们建议云原生开发者要慎重对待Linux符号链接机制，确保符号链接操作被正确处理。

三、屡试不爽的Linux内核漏洞。2022年以来，不断有新的高危Linux内核漏洞曝光。经测试，这些漏洞均可在容器内部触发，导致容器逃逸。由于容器与宿主机共享内核，一旦Linux内核出现新漏洞，容器的隔离性将受到严重威胁。因此，我们建议运维人员及时修补Linux内核漏洞，避免攻击者利用Linux内核漏洞逃逸。

前面，我们看到了许多云原生环境的安全漏洞，那么如何应对这些云原生安全问题、有效保障云原生环境安全呢？我们认为，应对云原生业务的全生命周期进行整体安全设计和防护，例如，包括CI/CD安全、运行时安全等。

最后，阮博男分享了Metarget项目的未来发展计划。在用户体验方面，我们希望提升Metarget的交互性和易用性，优化已有脆弱场景，并提高write-up覆盖率。除此之外，Metarget项目将覆盖更多的云原生基础设施程序漏洞场景、Linux内核漏洞场景，甚至考虑覆盖虚拟化漏洞场景。

未来，绿盟科技星云实验室希望将Metarget打造成云计算底层安全攻防研究的基础设施，助力云原生安全研究，促进云原生安全技术发展，也欢迎感兴趣的同学一起来参与Metarget项目建设。