Mehrere Sicherheitslücken wurden im runC-Befehlszeilentool bekannt gegeben, die von Angreifern ausgenutzt werden könnten, um die Grenzen des Containers zu verlassen und Folgeangriffe durchzuführen.
Diese Schwachstellen, verfolgt als CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 und CVE-2024-23653, wurden von dem Cybersicherheitsanbieter Snyk gemeinsam als Leaky Vessels bezeichnet.
„Diese Container-Eskapaden könnten einem Angreifer den unbefugten Zugriff auf das darunter liegende Betriebssystem des Hosts ermöglichen und möglicherweise den Zugriff auf sensible Daten (Anmeldedaten, Kundendaten usw.) und weitere Angriffe ermöglichen, insbesondere wenn der gewonnene Zugriff über Superuser-Rechte verfügt“, heißt es in einem Bericht des Unternehmens, der The Hacker News vorliegt.
runC ist ein Tool zum Erzeugen und Ausführen von Containern unter Linux. Es wurde ursprünglich als Teil von Docker entwickelt und später 2015 als separate Open-Source-Bibliothek veröffentlicht.
Eine kurze Beschreibung jeder Schwachstelle findet sich weiter unten:
CVE-2024-21626 (CVSS-Score: 8.6) – runC-Befehl „process.cwd“ und durchgesickerte fd-Container-Eskalation.
CVE-2024-23651 (CVSS-Score: 8.7) – Build-Zeit-Rennbedingungen für Container-Eskalation.
CVE-2024-23652 (CVSS-Score: 10.0) – Buildkit Build-Zeit-Containerabbau für willkürliche Löschung.
CVE-2024-23653 (CVSS-Score: 9.8) – GRPC SecurityMode Berechtigungsprüfung: Build-Zeit-Container-Eskalation.
Die schwerste der Schwachstellen ist CVE-2024-21626, die zu einer Container-Eskalation im Zusammenhang mit dem `WORKDIR`-Befehl führen kann.
„Dies kann durch Ausführen eines bösartigen Images oder durch Erstellen eines Container-Images unter Verwendung eines bösartigen Dockerfiles oder Upstream-Images (bei Verwendung von ‚FROM‘) geschehen“, sagte Snyk.
Es gibt keine Hinweise darauf, dass bisher irgendwelche der neu entdeckten Mängel in der Wildnis ausgenutzt wurden. Die Probleme wurden jedoch in der heute veröffentlichten runC-Version 1.1.12 behoben, nachdem sie im November 2023 verantwortungsbewusst offengelegt wurden.
„Weil diese Schwachstellen weit verbreitete Container-Engine-Komponenten und Container-Build-Tools betreffen, empfiehlt Snyk den Benutzern dringend, nach Updates von allen Anbietern ihrer Container-Runtime-Umgebungen zu suchen, einschließlich Docker, Kubernetes-Anbietern, Cloud-Container-Diensten und Open-Source-Communities“, sagte das Unternehmen.
Docker sagte in einer unabhängigen Warnung, dass die Schwachstellen nur ausgenutzt werden können, wenn ein Benutzer aktiv mit bösartigem Inhalt interagiert, indem er ihn in den Build-Prozess einbindet oder einen Container aus einem rogue Image ausführt.
„Potenzielle Auswirkungen sind unbefugter Zugriff auf das Host-Dateisystem, Gefährdung der Integrität des Build-Caches und im Fall von CVE-2024-21626 ein Szenario, das zu vollständiger Container-Eskalation führen könnte“, sagte Docker.
Auch Amazon Web Services (AWS) und Google Cloud haben eigene Warnungen veröffentlicht und ihre Kunden aufgefordert, geeignete Maßnahmen zu ergreifen, wo immer nötig.
Im Februar 2019 behoben die Verantwortlichen von runC eine weitere Schwachstelle mit hoher Schwere (CVE-2019-5736, CVSS Score: 8.6), die von einem Angreifer ausgenutzt werden konnte, um aus dem Container auszubrechen und Root-Zugriff auf den Host zu erlangen.
Cloud- und Container-Schwachstellen stellen weiterhin ein Angriffsrisiko dar, da Organisationen während der ersten Einrichtung übermäßige Berechtigungen und administrative Privilegien für Konten gewähren und dabei Konfigurationsfehler und Eskalationsmöglichkeiten für Angreifer hinterlassen.
„Diese Praxis birgt ein unangemessenes Risiko, da der Großteil schwerwiegender Sicherheitsvorfälle in der Cloud mit materiellem Einfluss auf das fehlgeschlagene Management von Identitäten, Zugriff und Privilegien verbunden ist“, merkte Sysdig in seinem Bericht über Cloud-native Sicherheit und Nutzung 2024 an. „Oft handelt es sich dabei um den ersten Angriffsvektor in einer Angriffskette, und dieses Identitätskompromittierung führt zwangsläufig zu Anwendungsmissbrauch, Systemkompromittierung oder Datenabfluss.“
(Der Artikel wurde nach Veröffentlichung aktualisiert, um zusätzliche Warnhinweise von Docker, AWS und Google Cloud einzuschließen.)