Le « hotpatch » publié par Amazon Web Services (AWS) en réponse aux vulnérabilités Log4Shell pourrait être exploité pour l’échappement du conteneur et l’escalade des privilèges, permettant à un attaquant de prendre le contrôle de l’hôte sous-jacent.
« Outre les conteneurs, les processus non privilégiés peuvent également exploiter le correctif pour augmenter les privilèges et obtenir l’exécution du code racine », a déclaré Yuval Avrahami, chercheur à l’unité 42 de Palo Alto Networks. mentionné dans un rapport publié cette semaine.
Les problèmes – CVE-2021-3100, CVE-2021-3101, CVE-2022-0070et CVE-2022-0071 (scores CVSS : 8,8) — affectent la solutions de correctifs livrés par AWS, et découlent du fait qu’ils sont conçus pour rechercher des processus Java et les corriger à la volée contre la faille Log4j, mais sans garantir que les nouveaux processus Java sont exécutés dans les limites imposées au conteneur.
« Tout processus exécutant un binaire nommé ‘java’ – à l’intérieur ou à l’extérieur d’un conteneur – est considéré comme un candidat pour le hot patch », a expliqué Avrahami. « Un conteneur malveillant aurait donc pu inclure un binaire malveillant nommé ‘java’ pour tromper la solution de patch à chaud installée en l’invoquant avec des privilèges élevés. »
Dans l’étape suivante, les privilèges élevés pourraient être militarisés par le processus ‘java’ malveillant pour échapper au conteneur et prendre le contrôle total du serveur compromis.
Un processus malveillant non privilégié, de la même manière, aurait pu créer et exécuter un binaire malveillant nommé « java » pour inciter le service hotpatch à l’exécuter avec des privilèges élevés.
Les utilisateurs sont conseillé de mettre à niveau vers la version corrigée à chaud dès que possible pour empêcher toute exploitation potentielle, mais uniquement après avoir donné la priorité aux correctifs contre les failles Log4Shell activement exploitées.
« Les conteneurs sont souvent utilisés comme frontière de sécurité entre les applications exécutées sur la même machine », a déclaré Avrahami. « Une fuite de conteneur permet à un attaquant d’étendre une campagne au-delà d’une seule application et de compromettre les services voisins. »