Várias vulnerabilidades de segurança foram divulgadas na instrumento de traço de comando runC que podem ser exploradas por agentes de ameaças para evadir dos limites do contêiner e realizar ataques subsequentes.
As vulnerabilidades, rastreadas uma vez que CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 e CVE-2024-23653, foram apelidadas coletivamente Vasos com vazamento pelo fornecedor de segurança cibernética Snyk.
“Essas fugas de contêiner podem permitir que um invasor obtenha chegada não autorizado ao sistema operacional host subjacente de dentro do contêiner e potencialmente permitir chegada a dados confidenciais (credenciais, informações do cliente, etc.) e lançar novos ataques, principalmente quando o chegada obtido inclui privilégios de superusuário”, disse a empresa em um relatório compartilhado com o The Hacker News.
runC é uma instrumento para gerar e executar contêineres no Linux. Ele foi originalmente desenvolvido uma vez que segmento do Docker e posteriormente transformado em uma livraria de código lhano separada em 2015.
Uma breve descrição de cada uma das falhas está inferior –
- CVE-2024-21626 (pontuação CVSS: 8,6) – runC process.cwd e fuga de contêiner fds vazado
- CVE-2024-23651 (Pontuação CVSS: 8,7) – Quebra de contêiner de quesito de corrida em tempo de construção do Buildkit
- CVE-2024-23652 (Pontuação CVSS: 10,0) – Buildkit Build-time Container Teardown Exclusão arbitrária
- CVE-2024-23653 (pontuação CVSS: 9,8) – Verificação de privilégio Buildkit GRPC SecurityMode: quebra de contêiner em tempo de construção
A lacuna mais grave é a CVE-2024-21626, que pode resultar em um escape de contêiner centrado no comando `WORKDIR`.
“Isso pode ocorrer ao executar uma imagem maliciosa ou ao edificar uma imagem de contêiner usando um Dockerfile malicioso ou imagem upstream (ou seja, ao usar `FROM`)”, disse Snyk.
Não há evidências de que qualquer uma das deficiências recentemente descobertas tenha sido explorada até o momento. Dito isso, os problemas foram resolvidos na versão 1.1.12 do runC lançada hoje depois divulgação responsável em novembro de 2023. As outras três falhas do Buildkit foram corrigidas com a versão 0.12.5.
“Porquê essas vulnerabilidades afetam componentes de mecanismo de contêiner de plebeu nível amplamente usados e ferramentas de construção de contêiner, Snyk recomenda fortemente que os usuários verifiquem atualizações de quaisquer fornecedores que forneçam seus ambientes de tempo de realização de contêiner, incluindo Docker, fornecedores de Kubernetes, serviços de contêiner em nuvem e comunidades de código lhano, “, disse a empresa.
Docker, em um expedido independente, disse que as vulnerabilidades só podem ser exploradas se um usuário se envolver ativamente com teor malicioso, incorporando-o ao processo de construção ou executando um contêiner a partir de uma imagem não autorizada.
“Os impactos potenciais incluem chegada não autorizado ao sistema de arquivos host, comprometendo a integridade do cache de construção e, no caso do CVE-2024-21626, um cenário que pode levar ao escape totalidade do contêiner”, disse Docker.
Amazon Web Services (AWS), Google Cloud e Ubuntu também lançaram alertas próprios, instando os clientes a tomar as medidas apropriadas quando e quando necessário.
Em fevereiro de 2019, os mantenedores do runC solucionaram outra lacuna de subida sisudez (CVE-2019-5736, pontuação CVSS: 8,6) que poderia ser abusada por um invasor para transpor do contêiner e obter chegada root no host.
As fraquezas na segurança da nuvem e dos contêineres continuam a ser um risco de ataque, com as organizações concedendo permissões e privilégios administrativos excessivos às contas durante a feitio inicial, deixando para trás configurações incorretas e oportunidades de escalonamento de privilégios para os invasores.
“Esta prática cria riscos indevidos quando a maioria dos incidentes graves de segurança na nuvem com impacto material estão ligados à lacuna no gerenciamento de identidades, chegada e privilégios”, observou Sysdig em seu Relatório de uso e segurança nativo da nuvem de 2024. “Muitas vezes é o vetor de ataque inicial em uma cárcere de ataque, e esse comprometimento de identidade leva inevitavelmente ao agravo de aplicativos, ao comprometimento do sistema ou à exfiltração de dados”.
(A história foi atualizada depois a publicação para incluir avisos adicionais publicados por Docker, AWS, Google Cloud e Ubuntu.)
