Falhas no RunC permitem fugas de contêiner, concedendo aos atacantes acesso ao host
1 de Fevereiro de 2024

Foram divulgadas várias vulnerabilidades de segurança na ferramenta de linha de comando runC que poderiam ser exploradas por atores de ameaças para fugir dos limites do contêiner e realizar ataques subsequentes.

As vulnerabilidades, rastreadas como CVE-2024-21626 , CVE-2024-23651 , CVE-2024-23652 e CVE-2024-23653 , foram coletivamente apelidadas de "Leaky Vessels" pelo fornecedor de segurança cibernética Snyk.

"Essas fugas de contêiner poderiam permitir que um invasor obtivesse acesso não autorizado ao sistema operacional do host subjacente a partir do contêiner e potencialmente permitir o acesso a dados sensíveis (credenciais, informações do cliente, etc.) e iniciar outros ataques, especialmente quando o acesso obtido inclui privilégios de superusuário", disse a empresa em um relatório compartilhado com o The Hacker News.

runC é uma ferramenta para gerar e executar contêineres no Linux.

Foi originalmente desenvolvido como parte do Docker e posteriormente se tornou uma biblioteca de código aberto separada em 2015.

Uma breve descrição de cada uma das falhas está abaixo -

CVE-2024-21626 (pontuação CVSS: 8.6) - processo runC.cwd e vazamento de fds breakout de contêiner
CVE-2024-23651 (pontuação CVSS: 8.7) - Condição de corrida em tempo de compilação breakout do contêiner
CVE-2024-23652 (pontuação CVSS: 10.0) - Desmontagem do Contêiner em Tempo de Compilação do Buildkit Exclusão Arbitrária
CVE-2024-23653 (pontuação CVSS: 9.8) - Verificação de privilégios do Modo de Segurança GRPC: contêiner breakout em tempo de construção

A falha mais grave é a CVE-2024-21626 , que pode resultar em uma fuga de contêiner centrada no comando `WORKDIR`.

"Isto poderia ocorrer ao executar uma imagem maliciosa ou ao construir uma imagem de contêiner usando um Dockerfile malicioso ou uma imagem upstream (ou seja, ao usar `FROM`)", disse Snyk.

Não há evidências de que qualquer uma das deficiências recém-descobertas tenha sido explorada até o momento.

No entanto, os problemas foram resolvidos na versão runC 1.1.12 lançada hoje após a divulgação responsável em novembro de 2023.

"Como essas vulnerabilidades afetam componentes de motor de contêiner de baixo nível amplamente utilizados e ferramentas de construção de contêiner, a Snyk recomenda fortemente que os usuários verifiquem atualizações de qualquer fornecedor que forneça seus ambientes de tempo de execução de contêiner, incluindo Docker, fornecedores de Kubernetes, serviços de contêiner em nuvem e comunidades de código aberto", disse a empresa.

O Docker, em um comunicado independente, disse que as vulnerabilidades só podem ser exploradas se um usuário se envolver ativamente com conteúdo malicioso ao incorporá-lo no processo de construção ou executar um contêiner a partir de uma imagem rogue.

"Impactos potenciais incluem acesso não autorizado ao sistema de arquivos do host, comprometendo a integridade do cache de construção e, no caso do CVE-2024-21626 , um cenário que poderia levar à fuga total do contêiner," disse Docker.

Amazon Web Services (AWS) e Google Cloud também lançaram alertas próprios, instando os clientes a tomarem as medidas apropriadas conforme e onde necessário.

Em fevereiro de 2019, os mantenedores do runC abordaram outra falha de alta gravidade ( CVE-2019-5736 , pontuação CVSS: 8.6) que poderia ser abusada por um invasor para sair do contêiner e obter acesso root no host.

Fraquezas de segurança em nuvem e contêiner continuam a ser um risco de ataque, uma vez que as organizações concedem permissões excessivas e privilégios administrativos para contas durante a instalação inicial, deixando para trás oportunidades de má configuração e de escalonamento de privilégios para os invasores.

"Esta prática cria um risco desnecessário quando a maioria dos incidentes de segurança em nuvem de gravidade material estão ligados à falha na gestão de identidades, acessos e privilégios", observou Sysdig em seu Relatório de Segurança e Uso em Nuvem Nativa de 2024.

"Muitas vezes é o vetor de ataque inicial em uma cadeia de ataque e esse compromisso de identidade inevitavelmente leva ao abuso de aplicativos, comprometimento do sistema ou exfiltração de dados."
(A história foi atualizada após a publicação para incluir avisos adicionais publicados por Docker, AWS e Google Cloud.)

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...