Plusieurs vulnérabilités de sécurité ont été révélées dans l’outil de ligne de commande runC qui pourraient être exploitées par des acteurs malveillants pour échapper aux limites du conteneur et organiser des attaques ultérieures.
Les vulnérabilités, suivies sous les noms CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 et CVE-2024-23653, ont été collectivement baptisées Navires qui fuient par le fournisseur de cybersécurité Snyk.
« Ces fuites de conteneur pourraient permettre à un attaquant d’obtenir un accès non autorisé au système d’exploitation hôte sous-jacent à partir du conteneur et potentiellement permettre l’accès à des données sensibles (identifiants, informations client, etc.), et de lancer d’autres attaques, en particulier lorsque l’accès obtenu inclut privilèges de superutilisateur », la société dit dans un rapport partagé avec The Hacker News.
exécuterC est un outil permettant de générer et d’exécuter des conteneurs sous Linux. Il a été initialement développé dans le cadre de Docker et plus tard filé dans une bibliothèque open source distincte en 2015.
Une brève description de chacune des failles est ci-dessous –
- CVE-2024-21626 – WORKDIR : Ordre des opérations de répartition du conteneur
- CVE-2024-23651 – Course du Mont Cache
- CVE-2024-23652 – Suppression arbitraire du démontage du conteneur au moment de la construction du Buildkit
- CVE-2024-23653 – Vérification des privilèges du Buildkit GRPC SecurityMode
La faille la plus grave est CVE-2024-21626, qui pourrait entraîner un échappement de conteneur centré autour de la commande « WORKDIR ».
« Cela pourrait se produire en exécutant une image malveillante ou en créant une image de conteneur à l’aide d’un Dockerfile malveillant ou d’une image en amont (c’est-à-dire lors de l’utilisation de `FROM`) », a déclaré Snyk.
Il n’existe jusqu’à présent aucune preuve que les lacunes récemment découvertes aient été exploitées dans la nature. Cela dit, les problèmes ont été adressé dans la version runC 1.1.12 publiée aujourd’hui.
« Étant donné que ces vulnérabilités affectent les composants de moteur de conteneur de bas niveau et les outils de création de conteneurs largement utilisés, Snyk recommande fortement aux utilisateurs de rechercher des mises à jour auprès de tous les fournisseurs fournissant leurs environnements d’exécution de conteneurs, y compris Docker, les fournisseurs Kubernetes, les services de conteneurs cloud et les communautés open source. « , a déclaré l’entreprise.
En février 2019, les responsables de runC ont corrigé une autre faille de haute gravité (CVE-2019-5736, score CVSS : 8,6) qui pourrait être exploitée par un attaquant pour s’extraire du conteneur et obtenir un accès root sur l’hôte.