Falhas em Leaky Vessels permitem que hackers escapem de contêineres Docker, runc
5 de Fevereiro de 2024

Quatro vulnerabilidades coletivamente chamadas de "Leaky Vessels" permitem que hackers escapem de contêineres e acessem dados no sistema operacional hospedeiro subjacente.

As falhas foram descobertas pelo pesquisador de segurança da Snyk, Rory McNamara, em novembro de 2023, que as reportou às partes impactadas para correção.

A Snyk não encontrou sinais de exploração ativa das falhas do Leaky Vessels no ambiente, mas a publicidade poderia mudar o status de exploração, portanto, todos os administradores de sistema afetados são recomendados a aplicar as atualizações de segurança disponíveis o mais rápido possível.

Contêineres são aplicações embaladas em um arquivo que contém todas as dependências, executáveis e código necessários para executar uma aplicação.

Esses contêineres são executados por plataformas como Docker e Kubernetes que executam a aplicação em um ambiente virtualizado isolado do sistema operacional.

A fuga de contêiner ocorre quando um invasor ou uma aplicação maliciosa sai do ambiente isolado do contêiner e ganha acesso não autorizado ao sistema hospedeiro ou a outros contêineres.

A equipe da Snyk encontrou quatro vulnerabilidades coletivamente chamadas de "Leaky Vessels" que impactam a infraestrutura de contêiner runc e Buildkit e as ferramentas de construção, permitindo potencialmente aos invasores realizar a fuga de contêiner em vários produtos de software.

Como o runc ou Buildkit são usados por uma ampla gama de software popular de gerenciamento de contêineres, como Docker e Kubernetes, a exposição a ataques se torna muito mais significativa.

As falhas de Leaky Vessels são resumidas abaixo:

CVE-2024-21626 : Bug proveniente de uma falha de ordem de operações com o comando WORKDIR no runc.

Permite aos invasores escaparem do ambiente isolado do contêiner, concedendo acesso não autorizado ao sistema operacional do host e potencialmente comprometendo todo o sistema.

CVE-2024-23651 : Uma condição de corrida no manuseio do cache de montagem do Buildkit levando a comportamento imprevisível, permitindo potencialmente a um invasor manipular o pro
cesso para acesso não autorizado ou para interromper as operações normais do contêiner.

CVE-2024-23652 : Falha permitindo a exclusão arbitrária de arquivos ou diretórios durante a fase de desmontagem do contêiner Buildkit.

Isso pode levar à negação de serviço, corrupção de dados ou manipulação não autorizada de dados.
CVE-2024-23653 : Esta vulnerabilidade surge de verificações de privilégio inadequadas na interface GRPC do Buildkit.

Pode permitir aos invasores executar ações além de suas permissões, levando à escalada de privilégios ou acesso não autorizado a dados sensíveis.

Buildkit e runc são amplamente utilizados por projetos populares como Docker e diversas distribuições Linux.

Por isso, o patch das vulnerabilidades "Leaky Vessels" envolveu ações coordenadas entre a equipe de pesquisa de segurança da Snyk, os mantenedores dos componentes afetados (runc e BuildKit) e a comunidade de infraestrutura de contêineres.

Em 31 de janeiro de 2024, Buildkit corrigiu as falhas com a versão 0.12.5, e runc abordou a questão de segurança que a impactava na versão 1.1.12.

O Docker lançou a versão 4.27.0 no mesmo dia, incorporando as versões seguras dos componentes em seu motor Moby, com as versões 25.0.1 e 24.0.8.

Amazon Web Services, Google Cloud e Ubuntu também publicaram boletins de segurança relevantes, orientando os usuários sobre as etapas apropriadas para resolver as falhas em seus softwares e serviços.

Finalmente, a CISA também publicou um alerta pedindo aos administradores de sistemas em nuvem que tomassem as medidas apropriadas para proteger seus sistemas contra a exploração potencial.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...