攻擊者可以利用開源 runc 容器執行時引擎(由 Docker 等使用)中的安全漏洞來獲取對主機的控制權。
本文譯自 Leaky Vessels: Vulnerability Sinks Container Security,作者:Joab Jackson 是 The New Stack 的高階編輯,負責雲原生計算和系統運營。 他從事 IT 基礎設施和開發工作已超過 25 年,曾在 IDG 和 Government Computer News 任職。 研究人員在開源 runc 容器引擎中發現了乙個漏洞,該漏洞大到足以讓攻擊者輕鬆遍歷並進入底層主機作業系統,從而對您的系統造成各種危害。
“攻擊者可以利用[此漏洞]從容器內部未經授權訪問底層主機作業系統,”安全公司SNYK在週三的一篇部落格文章中表示。 這個漏洞,以及許多其他漏洞,就是他們所說的“洩漏的容器”。 runc 命令列介面的維護者首先發現了原始問題,即洩露的檔案描述符,並迅速發布了更新 runc v112. 修復了核心問題(如 CVE-2024-21626 中所述)。 然而,SNYK建議,在每個人都公升級之前,Docker、Kubernetes和基於雲的容器服務等工具的使用者應該留意供應商發布的補丁。 docker 等工具使用 runc 作為其預設的容器執行時引擎。 Docker 最初建立了 runc,然後將其傳遞給 Open Container Initiative,作為供應商中立的開源專案進行維護。 週三,Docker 迅速發布了 Runc 的補丁,以及開源 MobyDocker 引擎和 buildkit 中發現的相關漏洞。 GitHub 對此漏洞的評分為 86 在 CVSS 評級標準中為“高風險”,這意味著該漏洞可能導致重大停機和/或資料丟失,儘管難以利用。 Docker表示,它也可以用來汙染構建快取的完整性。 SNYK的研究人員報告說,到目前為止,全球尚未發現利用此漏洞的攻擊。
利用此類漏洞,攻擊者可以訪問並接管底層作業系統。 從那裡,他們可以訪問系統上的其他資料,例如憑據,並發起進一步的攻擊。
隨著容器化技術在開發和生產環境中的廣泛使用,這種型別的攻擊對資料完整性、機密性和系統穩定性構成了重大風險,“Red Hat在周四的公告中指出。 系統可能會受到影響,無論是執行受攻擊的**受汙染的映像,還是使用惡意 dockerfile 或上游映像構建容器。 “只有當使用者將惡意內容合併到構建過程中或從可疑影象執行容器時,這些漏洞才能被利用,”Docker高階安全工程師Gabriela Georgieva週三在一篇部落格文章中寫道。 “我們強烈建議所有客戶通過及時應用這些更新來優先考慮安全性。 及時應用這些更新是保護系統免受這些漏洞攻擊並維護安全可靠的 Docker 環境的最有效措施。 ”
Red Hat 建議使用 Run 和 Workdir 指令檢查 Dockerfile,以確保沒有逃逸或惡意路徑。 對於支援 EBPF 的 Linux 核心,SNYK 發布了乙個名為 leaky-vessels-runtime-detector 的漏洞工具。 Snyk 報告了 BuildKit 中三個與 runc 相關的漏洞。 所有這些漏洞的等級均為高嚴重性:
CVE-2024-23651:buildkit 掛載快取 racecve-2024-23653:buildkit grpc securitymode 許可權檢查CVE-2024-23652:buildkit 構建時容器拆解任意 deleterunc 引擎是“較低階別的容器執行時之一,因此使用者通常不直接與 runc 互動,而是通過頂層的其他抽象,然後使用 runc 執行命令,”Kubernetes 安全公司 KSOC 的首席技術官兼聯合創始人 Jimmy Mesta 解釋道。 在一篇博文中。 “Runc 與其他軟體(如 Buildkit)配合使用,可以執行諸如解壓縮映像層和啟動容器程序、放置檔案系統以及在刪除容器後清理這些程序和檔案等操作。 在容器執行時,BuildKit 將是構建映象的工具,而 Runc 將完成每個步驟的實際工作。 “這不是Runc第一次受到意外逃生路線的困擾。 2019 年,TNS 報道了波蘭研究人員在調查基於命名空間的沙箱時發現了 Runcescape (CVE-2019-5736)。