Topluca “Sızdıran Gemiler” olarak adlandırılan dört güvenlik açığı, bilgisayar korsanlarının konteynerlerden kaçmasına ve temeldeki ana bilgisayar işletim sistemindeki verilere erişmesine olanak tanıyor.
Kusurlar, Kasım 2023’te Snyk güvenlik araştırmacısı Rory McNamara tarafından keşfedildi ve bunları etkilenen taraflara düzeltilmesi için bildirdi.
Snyk, Leaky Vessels kusurlarının aktif olarak istismar edildiğine dair hiçbir işaret bulamadı, ancak tanıtım, istismar durumunu değiştirebilir; bu nedenle, etkilenen tüm sistem yöneticilerinin mevcut güvenlik güncellemelerini mümkün olan en kısa sürede uygulamaları önerilir.
Kaçan konteynerler
Kapsayıcılar, bir uygulamayı çalıştırmak için gereken tüm çalışma zamanı bağımlılıklarını, yürütülebilir dosyaları ve kodları içeren bir dosyaya paketlenmiş uygulamalardır. Bu konteynerler, uygulamayı işletim sisteminden izole edilmiş sanallaştırılmış bir ortamda çalıştıran Docker ve Kubernetes gibi platformlar tarafından yürütülür.
Konteyner kaçışı, bir saldırganın veya kötü amaçlı bir uygulamanın izole edilmiş konteyner ortamından çıkıp ana sisteme veya diğer konteynerlere yetkisiz erişim sağlaması durumunda meydana gelir.
Snyk ekibi, toplu olarak “Sızdıran Gemiler” olarak adlandırılan, runc ve Buildkit konteyner altyapısını ve derleme araçlarını etkileyen ve potansiyel olarak saldırganların çeşitli yazılım ürünlerinde konteynerden kaçış gerçekleştirmesine olanak tanıyan dört güvenlik açığı buldu.
Kaynak: Snyk
Runc veya Buildkit, Docker ve Kubernetes gibi çok çeşitli popüler konteyner yönetimi yazılımları tarafından kullanıldığından, saldırılara maruz kalma çok daha önemli hale geliyor.
Sızdıran Gemilerin kusurları aşağıda özetlenmiştir:
- CVE-2024-21626: Runc’taki WORKDIR komutundaki işlem sırası hatasından kaynaklanan hata. Saldırganların konteynerin yalıtılmış ortamından kaçmasına olanak tanıyarak ana işletim sistemine yetkisiz erişim sağlar ve potansiyel olarak tüm sistemi tehlikeye atar.
- CVE-2024-23651: Buildkit’in montaj önbelleği işlemesinde öngörülemeyen davranışlara yol açan ve potansiyel olarak bir saldırganın yetkisiz erişim için süreci manipüle etmesine veya normal konteyner operasyonlarını kesintiye uğratmasına olanak tanıyan bir yarış durumu.
- CVE-2024-23652: Buildkit’in kapsayıcıyı sökme aşaması sırasında dosyaların veya dizinlerin keyfi olarak silinmesine izin veren kusur. Hizmet reddine, verilerin bozulmasına veya yetkisiz veri manipülasyonuna yol açabilir.
- CVE-2024-23653: Bu güvenlik açığı Buildkit’in GRPC arayüzündeki yetersiz ayrıcalık kontrollerinden kaynaklanmaktadır. Saldırganların izinlerinin ötesinde eylemler gerçekleştirmesine izin vererek ayrıcalıkların yükselmesine veya hassas verilere yetkisiz erişime yol açabilir.
Etki ve iyileştirme
Buildkit ve runc, Docker gibi popüler projeler ve birçok Linux dağıtımı tarafından yaygın olarak kullanılmaktadır.
Bu nedenle, “Sızdıran Gemiler” güvenlik açıklarının yamalanması, Snyk’teki güvenlik araştırma ekibi, etkilenen bileşenlerin (runc ve BuildKit) bakımcıları ve daha geniş konteyner altyapı topluluğu arasında koordineli eylemleri içeriyordu.
31 Ocak 2024’te Buildkit, 0.12.5 sürümündeki kusurları düzeltti ve runc, 1.1.12 sürümünde onu etkileyen güvenlik sorununu giderdi.
Docker aynı gün, bileşenlerin güvenli sürümlerini Moby motorunda 25.0.1 ve 24.0.8 sürümleriyle birleştirerek 4.27.0 sürümünü yayınladı.
Amazon Web Services, Google Cloud ve Ubuntu da ilgili güvenlik bültenleri yayınlayarak kullanıcılara yazılım ve hizmetlerindeki kusurları çözmek için uygun adımlarda yol gösterdi.
Son olarak CISA, bulut sistemi yöneticilerini, sistemlerini potansiyel istismardan korumak için uygun eylemi gerçekleştirmeye çağıran bir uyarı da yayınladı.