runC komut satırı aracında, tehdit aktörlerinin konteynerin sınırlarından kaçmak ve takip eden saldırılar düzenlemek için kullanılabilecek çok sayıda güvenlik açığı ortaya çıktı.
CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 ve CVE-2024-23653 olarak takip edilen güvenlik açıkları toplu olarak adlandırılmıştır. Sızdıran Kaplar Siber güvenlik sağlayıcısı Snyk tarafından.
“Bu konteyner kaçışları, bir saldırganın konteynerin içinden temel ana bilgisayar işletim sistemine yetkisiz erişim elde etmesine ve potansiyel olarak hassas verilere (kimlik bilgileri, müşteri bilgileri vb.) erişime izin vermesine ve özellikle elde edilen erişim aşağıdakileri içerdiğinde daha fazla saldırı başlatmasına olanak tanıyabilir. süper kullanıcı ayrıcalıkları,” şirket söz konusu The Hacker News ile paylaşılan bir raporda.
koşC Linux’ta kapsayıcıları oluşturmak ve çalıştırmak için bir araçtır. Başlangıçta Docker’ın bir parçası olarak geliştirildi ve daha sonra dışarı çıktı 2015 yılında ayrı bir açık kaynak kütüphaneye dönüştürüldü.
Kusurların her birinin kısa bir açıklaması aşağıdadır –
- CVE-2024-21626 – WORKDIR: İşlem sırası konteynerinin dökümü
- CVE-2024-23651 – Binek Önbelleği Yarışı
- CVE-2024-23652 – Buildkit Oluşturma Zamanı Konteynerinin Parçalanması Keyfi Silme
- CVE-2024-23653 – Buildkit GRPC Güvenlik Modu Ayrıcalık Kontrolü
Kusurların en ciddisi CVE-2024-21626’dır ve bu, ‘WORKDIR’ komutunun etrafında toplanan bir konteyner kaçışına neden olabilir.
Snyk, “Bu, kötü amaçlı bir görüntünün çalıştırılmasıyla veya kötü amaçlı bir Dockerfile veya yukarı akış görüntüsü kullanılarak bir konteyner görüntüsü oluşturulmasıyla (yani ‘FROM’ kullanılırken) meydana gelebilir” dedi.
Yeni keşfedilen eksikliklerden herhangi birinin bugüne kadar vahşi ortamda kullanıldığına dair hiçbir kanıt yok. Bununla birlikte, sorunlar ele alinan runC’nin bugün yayımlanan 1.1.12 sürümünde.
“Bu güvenlik açıkları yaygın olarak kullanılan düşük seviyeli konteyner motoru bileşenlerini ve konteyner oluşturma araçlarını etkilediğinden Snyk, kullanıcıların Docker, Kubernetes satıcıları, bulut konteyner hizmetleri ve açık kaynak toplulukları dahil olmak üzere konteyner çalışma zamanı ortamlarını sağlayan tüm satıcıların güncellemelerini kontrol etmelerini şiddetle tavsiye ediyor. ” dedi şirket.
Şubat 2019’da runC bakımcıları, bir saldırganın konteynerden kaçmak için kötüye kullanabileceği başka bir yüksek önem derecesine sahip kusuru (CVE-2019-5736, CVSS puanı: 8,6) ele aldı ve kök erişimi elde et ev sahibi üzerinde.