RunC komut satırı aracında, tehdit aktörlerinin konteynerin sınırlarından kaçmak ve takip eden saldırılar düzenlemek için kullanılabilecek çok sayıda güvenlik açığı ortaya çıktı.
CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 ve CVE-2024-23653 olarak takip edilen güvenlik açıkları toplu olarak adlandırılmıştır. Sızdıran Kaplar Siber güvenlik sağlayıcısı Snyk tarafından.
“Bu konteyner kaçışları, bir saldırganın konteynerin içinden temel ana bilgisayar işletim sistemine yetkisiz erişim elde etmesine ve potansiyel olarak hassas verilere (kimlik bilgileri, müşteri bilgileri vb.) erişime izin vermesine ve özellikle elde edilen erişim aşağıdakileri içerdiğinde daha fazla saldırı başlatmasına olanak tanıyabilir. Süper kullanıcı ayrıcalıkları” dedi şirket, The Hacker News ile paylaşılan bir raporda.
runC, Linux’ta kapsayıcıları oluşturmak ve çalıştırmak için kullanılan bir araçtır. Başlangıçta Docker’ın bir parçası olarak geliştirildi ve daha sonra 2015 yılında ayrı bir açık kaynak kitaplığına dönüştürüldü.
Kusurların her birinin kısa bir açıklaması aşağıdadır –
- CVE-2024-21626 – WORKDIR: İşlem sırası konteynerinin dökümü
- CVE-2024-23651 – Binek Önbelleği Yarışı
- CVE-2024-23652 – Buildkit Oluşturma Zamanı Konteynerinin Parçalanması Keyfi Silme
- CVE-2024-23653 – Buildkit GRPC Güvenlik Modu Ayrıcalık Kontrolü
Kusurların en ciddisi CVE-2024-21626’dır ve bu, ‘WORKDIR’ komutunun etrafında toplanan bir konteyner kaçışına neden olabilir.
Snyk, “Bu, kötü amaçlı bir görüntünün çalıştırılmasıyla veya kötü amaçlı bir Dockerfile veya yukarı akış görüntüsü kullanılarak bir konteyner görüntüsü oluşturulmasıyla (yani ‘FROM’ kullanıldığında) meydana gelebilir” dedi.
Yeni keşfedilen eksikliklerden herhangi birinin bugüne kadar vahşi ortamda kullanıldığına dair hiçbir kanıt yok. Bununla birlikte, sorunlar bugün yayımlanan runC 1.1.12 sürümünde giderilmiştir.
“Bu güvenlik açıkları yaygın olarak kullanılan düşük seviyeli konteyner motoru bileşenlerini ve konteyner oluşturma araçlarını etkilediğinden Snyk, kullanıcıların Docker, Kubernetes satıcıları, bulut konteyner hizmetleri ve açık kaynak toplulukları dahil olmak üzere konteyner çalışma zamanı ortamlarını sağlayan tüm satıcıların güncellemelerini kontrol etmelerini şiddetle tavsiye ediyor. ” dedi şirket.
Şubat 2019’da runC bakımcıları, bir saldırganın kapsayıcıdan çıkmak ve ana makinede kök erişimi elde etmek için kötüye kullanabileceği başka bir yüksek önem derecesine sahip kusuru (CVE-2019-5736, CVSS puanı: 8,6) ele aldı.