Quatre vulnérabilités collectivement appelées « Vaisseaux qui fuient » permettent aux pirates d’échapper aux conteneurs et d’accéder aux données sur le système d’exploitation hôte sous-jacent.

Les failles ont été découvertes par le chercheur en sécurité Snyk Rory McNamara en novembre 2023, qui les a signalées aux parties concernées pour qu’elles les corrigent.

Snyk n’a trouvé aucun signe d’exploitation active des failles Leaky Vessels dans la nature, mais la publicité pourrait changer le statut d’exploitation, il est donc recommandé à tous les administrateurs système concernés d’appliquer les mises à jour de sécurité disponibles dès que possible.

Conteneurs d’échappement
Les conteneurs sont des applications empaquetées dans un fichier qui contient toutes les dépendances d’exécution, les exécutables et le code requis pour exécuter une application. Ces conteneurs sont exécutés par des plates-formes telles que Docker et Kubernetes qui exécutent l’application dans un environnement virtualisé isolé du système d’exploitation.

L’évasion de conteneur se produit lorsqu’un attaquant ou une application malveillante sort de l’environnement de conteneur isolé et obtient un accès non autorisé au système hôte ou à d’autres conteneurs.

L’équipe de Snyk a découvert quatre vulnérabilités collectivement appelées « Vaisseaux qui fuient » qui affectent l’infrastructure de conteneurs runc et Buildkit et les outils de construction, permettant potentiellement aux attaquants d’effectuer une évasion de conteneur sur divers produits logiciels.

Démonstration d’exploitation de navires qui fuient pour accéder aux données sur l’hôte

Comme les kits de construction runcorn sont utilisés par un large éventail de logiciels de gestion de conteneurs populaires, tels que Docker et Kubernetes, l’exposition aux attaques devient beaucoup plus importante.

Les défauts des vaisseaux qui fuient sont résumés ci-dessous:

  • CVE-2024-21626: Bug provenant d’un ordre d’opérations volé avec la commande WORKDIR dans l’exécution c. Il permet aux attaquants d’échapper à l’environnement isolé du conteneur, accordant un accès non autorisé au système d’exploitation hôte et compromettant potentiellement l’ensemble du système.
  • CVE-2024-23651: Une condition de concurrence dans la gestion du cache de montage du kit de construction entraîne un comportement imprévisible, permettant potentiellement à un attaquant de manipuler le processus pour un accès non autorisé ou de perturber les opérations normales du conteneur.
  • CVE-2024-23652: Faille permettant la suppression arbitraire de fichiers ou de répertoires pendant la phase de démontage du conteneur du kit de construction. Cela pourrait entraîner un déni de service, une corruption des données ou une manipulation non autorisée des données.
  • CVE-2024-23653: Cette vulnérabilité provient de vérifications de privilèges inadéquates dans l’interface RPC du kit de construction. Cela pourrait permettre aux attaquants d’exécuter des actions au-delà de leurs autorisations, entraînant une augmentation des privilèges ou un accès non autorisé à des données sensibles.

Impact et remédiation
Buildkit et runc sont largement utilisés par des projets populaires comme Docker et plusieurs distributions Linux.

Pour cette raison, le correctif des vulnérabilités des » navires qui fuient  » a impliqué des actions coordonnées entre l’équipe de recherche sur la sécurité de Snyk, les mainteneurs des composants affectés (runc et BuildKit) et la communauté plus large de l’infrastructure de conteneurs.

Le 31 janvier 2024, Buildkit a corrigé les failles avec la version 0.12.5 et runc a résolu le problème de sécurité qui l’affectait sur la version 1.1.12.

Docker a publié la version 4.27.0 le même jour, incorporant les versions sécurisées des composants dans son moteur Moby, avec les versions 25.0.1 et 24.0.8.

Amazon Web Services, Google Cloud et Ubuntu ont également publié des bulletins de sécurité pertinents, guidant les utilisateurs à travers les étapes appropriées pour résoudre les failles de leurs logiciels et services.

Enfin, CISA a également publié une alerte exhortant les administrateurs du système cloud à prendre les mesures appropriées pour sécuriser leurs systèmes contre toute exploitation potentielle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *