Fallos de RunC permiten la fuga de contenedores y otorgan a los atacantes acceso

Iniciado por AXCESS, Febrero 05, 2024, 11:11:42 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se han revelado múltiples vulnerabilidades de seguridad en la herramienta de línea de comandos runC que podrían ser aprovechadas por actores de amenazas para escapar de los límites del contenedor y realizar ataques de seguimiento.

Las vulnerabilidades, rastreadas como CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 y CVE-2024-23653, han sido denominadas colectivamente Leaky Vessels por el proveedor de ciberseguridad Snyk.

"Estos escapes de contenedores podrían permitir a un atacante obtener acceso no autorizado al sistema operativo host subyacente desde dentro del contenedor y potencialmente permitir el acceso a datos confidenciales (credenciales, información del cliente, etc.) y lanzar más ataques, especialmente cuando el acceso obtenido incluye privilegios de superusuario", dijo la compañía.

runC es una herramienta para generar y ejecutar contenedores en Linux. Originalmente se desarrolló como parte de Docker y luego se dividió en una biblioteca de código abierto separada en 2015.

A continuación, se incluye una breve descripción de cada uno de los defectos:

    CVE-2024-21626 (puntuación CVSS: 8,6 ): runC Process.cwd y fuga del contenedor fds filtrado

    CVE-2024-23651 (puntuación CVSS: 8,7 ): desglose del contenedor de condiciones de carrera en tiempo de construcción de Buildkit

    CVE-2024-23652 (puntuación CVSS: 10.0 ) - Eliminación arbitraria de desmontaje de contenedores en tiempo de construcción de Buildkit

    CVE-2024-23653 (puntuación CVSS: 9,8 ) - Verificación de privilegios de Buildkit GRPC SecurityMode: ruptura del contenedor en tiempo de compilación

La falla más grave es CVE-2024-21626, que podría provocar un escape de contenedor centrado en el comando "WORKDIR".

"Esto podría ocurrir al ejecutar una imagen maliciosa o al crear una imagen de contenedor usando un Dockerfile malicioso o una imagen ascendente (es decir, cuando se usa `FROM`)", dijo Snyk.

No hay evidencia de que alguna de las deficiencias recientemente descubiertas haya sido explotada en la naturaleza hasta la fecha. Dicho esto, los problemas se solucionaron en la versión 1.1.12 de runC lanzada hoy luego de la divulgación responsable en noviembre de 2023. Las otras tres fallas de Buildkit se solucionaron con la versión 0.12.5.

"Debido a que estas vulnerabilidades afectan los componentes del motor de contenedores de bajo nivel y las herramientas de creación de contenedores ampliamente utilizados, Snyk recomienda encarecidamente que los usuarios busquen actualizaciones de cualquier proveedor que proporcione sus entornos de ejecución de contenedores, incluidos Docker, proveedores de Kubernetes, servicios de contenedores en la nube y comunidades de código abierto. " dijo la empresa.

Docker, en un aviso independiente, dijo que las vulnerabilidades solo pueden explotarse si un usuario interactúa activamente con contenido malicioso incorporándolo al proceso de construcción o ejecutando un contenedor desde una imagen no autorizada.

"Los posibles impactos incluyen el acceso no autorizado al sistema de archivos del host, comprometer la integridad de la caché de compilación y, en el caso de CVE-2024-21626, un escenario que podría conducir a un escape completo del contenedor", dijo Docker.

Amazon Web Services (AWS), Google Cloud y Ubuntu también han publicado sus propias alertas, instando a los clientes a tomar las medidas adecuadas cuando sea necesario.

En febrero de 2019, los mantenedores de runC abordaron otra falla de alta gravedad (CVE-2019-5736, puntuación CVSS: 8.6 ) que un atacante podría aprovechar para salir del contenedor y obtener acceso raíz en el host.

Las debilidades de seguridad de la nube y los contenedores siguen siendo un riesgo de ataque, ya que las organizaciones otorgan permisos y privilegios administrativos excesivos a las cuentas durante la configuración inicial, dejando atrás configuraciones incorrectas y oportunidades de escalada de privilegios para los atacantes.

"Esta práctica crea un riesgo indebido cuando la mayoría de los incidentes graves de seguridad en la nube con impacto material están vinculados a la gestión fallida de identidades, acceso y privilegios", señaló Sysdig en su Informe de uso y seguridad nativo de la nube de 2024. "A menudo es el vector de ataque inicial en una cadena de ataques, y este compromiso de identidad conduce inevitablemente al abuso de aplicaciones, compromiso del sistema o filtración de datos".

Fuente[/b]:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta