Se han revelado múltiples vulnerabilidades de seguridad en la herramienta de línea de comandos runC que podrían ser aprovechadas por actores de amenazas para escapar de los límites del contenedor y realizar ataques de seguimiento.
Las vulnerabilidades, rastreadas como CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 y CVE-2024-23653, se denominaron colectivamente Buques con fugas por el proveedor de ciberseguridad Snyk.
“Estos escapes de contenedores podrían permitir a un atacante obtener acceso no autorizado al sistema operativo host subyacente desde dentro del contenedor y potencialmente permitir el acceso a datos confidenciales (credenciales, información del cliente, etc.) y lanzar más ataques, especialmente cuando el acceso obtenido incluye privilegios de superusuario”, la empresa dicho en un informe compartido con The Hacker News.
ejecutarC es una herramienta para generar y ejecutar contenedores en Linux. Fue desarrollado originalmente como parte de Docker y posteriormente girado en una biblioteca separada de código abierto en 2015.
A continuación se incluye una breve descripción de cada uno de los defectos:
- CVE-2024-21626 – WORKDIR: Orden de desglose del contenedor de operaciones
- CVE-2024-23651 – Carrera de caché de monte
- CVE-2024-23652 – Eliminación arbitraria de desmontaje de contenedores en tiempo de construcción de Buildkit
- CVE-2024-23653 – Verificación de privilegios del modo de seguridad de Buildkit GRPC
La falla más grave es CVE-2024-21626, que podría provocar un escape de contenedor centrado en el comando “WORKDIR”.
“Esto podría ocurrir al ejecutar una imagen maliciosa o al crear una imagen de contenedor usando un Dockerfile malicioso o una imagen ascendente (es decir, cuando se usa `FROM`)”, dijo Snyk.
No hay evidencia de que alguna de las deficiencias recientemente descubiertas haya sido explotada en la naturaleza hasta la fecha. Dicho esto, los problemas han sido dirigido en runC versión 1.1.12 lanzada hoy.
“Debido a que estas vulnerabilidades afectan los componentes del motor de contenedores de bajo nivel y las herramientas de construcción de contenedores ampliamente utilizados, Snyk recomienda encarecidamente que los usuarios busquen actualizaciones de cualquier proveedor que proporcione sus entornos de ejecución de contenedores, incluidos Docker, proveedores de Kubernetes, servicios de contenedores en la nube y comunidades de código abierto. ” dijo la empresa.
En febrero de 2019, los mantenedores de runC abordaron otra falla de alta gravedad (CVE-2019-5736, puntuación CVSS: 8.6) que un atacante podría aprovechar para salir del contenedor y obtener acceso root en el anfitrión.