Der „Hotpatch“, der von Amazon Web Services (AWS) als Reaktion auf die Log4Shell-Schwachstellen veröffentlicht wurde, könnte für Container-Escape und Privilegienerweiterung genutzt werden, so dass ein Angreifer die Kontrolle über den zugrunde liegenden Host übernehmen kann.
„Neben Containern können auch unprivilegierte Prozesse den Patch ausnutzen, um ihre Privilegien zu erweitern und Root-Code auszuführen“, so Yuval Avrahami, Forscher bei Palo Alto Networks Unit 42, in einem diese Woche veröffentlichten Bericht.
Die Schwachstellen – CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 und CVE-2022-0071 (CVSS-Scores: 8.8) – betreffen die von AWS ausgelieferten Hotfix-Lösungen und rühren daher, dass diese so konzipiert sind, dass sie nach Java-Prozessen suchen und diese im laufenden Betrieb gegen den Log4j-Fehler patchen, ohne jedoch sicherzustellen, dass die neuen Java-Prozesse innerhalb der für den Container geltenden Beschränkungen ausgeführt werden.
„Jeder Prozess, der eine Binärdatei mit dem Namen ‚java‘ ausführt – innerhalb oder außerhalb eines Containers – wird als Kandidat für den Hot Patch betrachtet“, erklärt Avrahami. „Ein bösartiger Container könnte also eine bösartige Binärdatei mit dem Namen ‚java‘ eingeschleust haben, um die installierte Hot-Patch-Lösung dazu zu bringen, sie mit erhöhten Rechten aufzurufen.“
Im nächsten Schritt könnte der böswillige „java“-Prozess die erhöhten Rechte als Waffe einsetzen, um aus dem Container zu entkommen und die volle Kontrolle über den kompromittierten Server zu erlangen.
Ein bösartiger, nicht privilegierter Prozess könnte auf ähnliche Weise eine bösartige Binärdatei mit dem Namen „java“ erstellt und ausgeführt haben, um den Hotpatch-Dienst dazu zu bringen, ihn mit erweiterten Rechten auszuführen.
Den Nutzern wird empfohlen, so schnell wie möglich auf die behobene Hotpatch-Version zu aktualisieren, um eine mögliche Ausnutzung zu verhindern, aber erst, nachdem sie vorrangig die aktiv ausgenutzten Log4Shell-Schwachstellen gepatcht haben.
„Container werden oft als Sicherheitsgrenze zwischen Anwendungen eingesetzt, die auf demselben Rechner laufen“, so Avrahami. „Ein Container-Ausbruch ermöglicht es einem Angreifer, eine Kampagne über eine einzelne Anwendung hinaus auszuweiten und benachbarte Dienste zu kompromittieren.“