Konteynerlerde, bir tehdit aktörünün konteynerden kaçmasına ve ana sisteme erişmesine olanak verebilecek dört yeni güvenlik açığı tespit edildi.
Bu güvenlik açıkları, araştırmacılar tarafından potansiyel olarak bir tehdit aktörünün ana bilgisayar sistemlerindeki hassas verilere erişmesine ve daha fazla saldırı başlatmasına olanak sağlayabilecek “Sızdıran Gemiler” olarak adlandırıldı.
Bu güvenlik açıklarına yönelik CVE’ler aşağıdaki şekilde atanmıştır:
- CVE-2024-21626 (runc proses.cwd ve sızdırılan dfs kapsayıcısı kopması – 8,6 (Yüksek))
- CVE-2024-23651 (Buildkit Montaj Önbellek Yarışı – 8.7 (Yüksek))
- CVE-2024-23653 (Buildkit GRPC Güvenlik Modu Ayrıcalık Kontrolü – 10.0 (Kritik))
- CVE-2024-23652 (Buildkit Oluşturma Zamanı Container Teardown Keyfi Silme – 9.8 (Kritik))
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Sızdıran Kaplar
CVE-2024-21626
Bu güvenlik açığı, chdir bağımsız değişkeni aracılığıyla iletilen ayrıcalıklı dizinler /proc/self/fd/’ye erişim için yol geçişi olarak değiştirilen Dockerfile’ın WORKDIR yönergesinde tanımlanan işlem sırası nedeniyle ortaya çıkar.
Bu saldırının başarılı bir şekilde kullanılması, dosya sistemine tam kök erişimi sağlayarak saldırganın ana bilgisayarı kontrol etmesine olanak tanır. Bu güvenlik açığının önem derecesi 8,6 (Yüksek).
CVE-2024-23651
Bu güvenlik açığı, konteyner oluşturma sırasında bir önbellek biriminin montajı sırasında meydana gelen TOCTOU (kontrol zamanı/kullanım zamanı) yarış durumundan kaynaklanmaktadır. Yarış durumu, önbellek montajı içindeki kaynak yolunun bir dizin olup olmadığını doğrulayan kaynak yolunun doğrulanması nedeniyle mevcuttur.
Bu güvenlik açığı, önbellek birimi kaynak yolunun montajdan manipüle edilmesiyle ve yarış durumunun kötüye kullanılmasıyla kullanılabilir; bu da tam kök ana bilgisayar güvenliğinin sağlanmasıyla sonuçlanabilir. Bu güvenlik açığının ciddiyeti 8,7 (Yüksek).
CVE-2024-23653
Bu güvenlik açığı, GRPC uç noktasındaki ayrıcalık denetiminin eksik olması nedeniyle oluşur. Bir Docker dosyasının özel giriş formatı, girişi ayrıştırmak için başka bir Docker görüntüsünün kullanımını tanımlayan # sözdizimi= komutu kullanılarak belirtilebilir. Bu liman işçisi görüntüsü, ara temsilin oluşturulmasını ve sunulmasını sağlamak için GRPC sunucusuna erişime sahip olacaktır.
Ancak Container.Start uç noktası, StartRequest’i doğrulamayan derleme zamanı geçici kapsayıcılarının yürütülmesine izin verir.
ScurityMode bağımsız değişkeni, tehdit aktörleri tarafından ayrıcalıklarını yükseltmek ve ana bilgisayar kök komutunun tam olarak yürütülmesini sağlamak için kötüye kullanılabilir. Bu güvenlik açığının önem derecesi 10,0 (Kritik).
CVE-2024-23652
Bu güvenlik açığı, Buildkit kullanımdan sonra geçici dizinleri temizlemeye çalıştığında ortaya çıkar. Bir Dockerfile çalıştırıldığında, Dockerfile’ın yapılandırmasına göre bazı belirli dizinler hedeflenir. Dizinler mevcut değilse oluşturulur ve ardından kaldırılır.
Bu özel işlevsellik, hedeflenen dizini, bu sembolik bağlantıdan geçecek ve silinmeye yol açacak bir sembolik bağlantıyla değiştirerek kötüye kullanılabilir.
Bu güvenlik açığından başarıyla yararlanılması, dosya sistemindeki herhangi bir dosyanın silinmesine neden olur. Bu güvenlik açığının önem derecesi 9,8 (Kritik).
Bu güvenlik açıkları, yararlanma kodu, metodoloji ve hafifletme hakkında ayrıntılı bilgi sağlayan Snyk tarafından yayınlanmıştır.
En son siber güvenlik haberleri, teknik incelemeler, infografikler ve daha fazlası için bizi LinkedIn’de takip edin. Siber güvenlikteki en son trendlerden haberdar olun ve güncel kalın.