Runc <= 1.1.11 High Vulnerability affects (Docker, Kubernetes)
Descripción de la vulnerabilidad.
Se identificó recientemente una vulnerabilidad en runc <= 1.1.11, (CVE-2024-21626). Un atacante puede aprovechar esta falla para obtener acceso al sistema de archivos del sistema operativo host y conseguir acceso privilegiado al mismo.
Runc es comúnmente utilizado para crear y ejecutar contenedores en sistemas Linux y está presente en sistemas de orquestación por contenedores como Kubernetes o Docker.
Este problema específico se debió a la filtración de un descriptor de archivo que podría ser utilizado por un contenedor recién creado para tener un directorio de trabajo dentro del espacio de nombres del sistema de archivos del host. Esto estaría fuera del sistema de archivos chroot del contenedor.
Explotación.
Al agregar código malicioso directamente al Dockerfile después de un comando WORKDIR , un atacante podría ejecutar código malicioso en el sistema de archivos host donde se crean las imágenes de Docker.
Esto se puede ver con el siguiente Dockerfile.
Cuando se compila este Dockerfile, se creará una imagen intermedia donde el directorio de trabajo está configurado en /prov/self/fd/7 , y esa imagen luego se usará para crear un contenedor para ejecutar los comandos dentro de RUN.
Esto se puede ver a continuación:
Como se puede ver, se ejecutaron exitosamente las instrucciones como parte de la compilación, y el archivo de host de prueba también está presente, lo que muestra que este es el sistema de archivos del host. Este enfoque podría usarse para comprometer los sistemas de CI/CD, mediante el envío de Dockerfiles modificados maliciosamente que luego serán creados por los ejecutores de la canalización de CI/CD correspondiente.
Versiones Afectadas
Productos afectados.
Esta vulnerabilidad afecta a los sistemas que ejecutan runc versión 1.1.11 y anteriores. Debido al uso generalizado de runc en tiempos de ejecución de contenedores como Docker y Kubernetes, una cantidad significativa de entornos en contenedores pueden ser vulnerables.
Recomendaciones
Mitigación.
Runc y software que dependan de él, deben actualizarse a la versión 1.1.12 o posterior. Los proveedores también pueden tener sus propios avisos o boletines de seguridad sobre acciones recomendadas, y estos deben seguirse cuando estén disponibles.
Referencias
Referencias
https://www.cert.europa.eu/publications/security-advisories/2024-016/
https://access.redhat.com/security/vulnerabilities/RHSB-2024-001
https://access.redhat.com/security/cve/cve-2024-21626
https://snyk.io/blog/cve-2024-21626-runc-process-cwd-container-breakout/
.jpg)
