La vulnerabilidad RunC de alta gravedad expone los hosts de Docker y Kubernetes

A menudo reclamado como el peor de los casos, una vulnerabilidad de ruptura de contenedor ha sido descubierto en RunC, el tiempo de ejecución de contenedor universal utilizado por Docker, Kubernetes y otros sistemas de contenedorización.

Investigaciones posteriores han descubierto que una versión similar de la misma vulnerabilidad afecta a la LXC y apache mesos paquetes identificado como CVE-2019-5736esta vulnerabilidad otorga acceso raíz a los sistemas host que ejecutan todas las tecnologías de contenedorización más populares.

La ruptura de un contenedor ocurre cuando una imagen Docker o un contenedor maliciosos explotan una vulnerabilidad para lograr un nivel de acceso en el sistema host. Si bien es extremadamente raro, han pasado años desde que se reveló una vulnerabilidad de ruptura de contenedor en un componente central de Docker; esa racha ahora ha terminado.

Esta vulnerabilidad permite que un contenedor sobrescriba el binario RunC y obtenga acceso de ejecución de código de nivel raíz con una interacción mínima del usuario. Esta vulnerabilidad se puede explotar de las siguientes maneras:

• Creación de un nuevo contenedor basado en una imagen controlada por un atacante malintencionado
• Adjuntar a un contenedor existente al que un atacante tenía acceso de escritura anterior

Dado que una gran parte de los contenedores se basan en imágenes creadas por terceros, es vital parchear los sistemas de inmediato, ya que la mayoría de los usuarios estarán expuestos a imágenes y contenedores creados por terceros desconocidos.

Los parches ya están disponibles en el proyecto Upstream RunC y están siendo distribuidos por todos los principales proveedores de sistemas operativos.

Todos los principales proveedores de la nube tienen alguna vulnerabilidad a este ataque, con diversos grados de exposición según el uso de los servicios alojados y los sistemas operativos nativos de la nube. Por ejemplo, AWS aconseja a los usuarios que lancen nuevas instancias de Elastic Container Service desde la última AMI y actualicen los servicios de Fargate.

Google señala que los nodos de Kubernetes basados ​​en Ubuntu se ven afectados mientras que los nodos que ejecutan COS no lo están.

Como muchos productos diferentes se ven afectados, consulte con los proveedores de su sistema operativo y proveedores de la nube para asegurarse de que está actualizado con todos los parches de seguridad.

Junto con la aplicación de parches, esta vulnerabilidad se puede mitigar mediante el uso correcto de los espacios de nombres de usuario, donde el usuario raíz dentro del contenedor no se asigna al usuario raíz en el sistema host.

Esta mitigación, junto con prácticas adicionales de seguridad basadas en contenedores, debe usarse para protegerse contra ataques no basados ​​en contenedores, como CVE-2019-5736, sino también otros ataques basados ​​en contenedores.