Een van de grote zekerheid de angsten van de containers is dat een aanvaller kunnen infecteren, een container met een kwaadaardig programma, die kon ontsnappen en de aanval van het host systeem. Goed, we hebben nu een gat in de beveiliging die kunnen worden gebruikt door een dergelijke aanval: RunC container breakout, CVE-2019-5736.
Ook: Dit is hoe Docker containers kunnen worden benut
RunC is de onderliggende container runtime voor Docker, Kubernetes, en andere container-afhankelijke programma ‘ s. Het is een open-source commando-regel gereedschap voor het paaien en uitvoeren van containers. Docker oorspronkelijk is gemaakt. Vandaag de dag is het een Open Container Initiatief (OCI) specificatie. Het is op grote schaal gebruikt. Kans zijn, als je met behulp van containers, je draait ze op runC.
Volgens Aleksa Sarai, een SUSE container senior software engineer en een runC onderhouder, veiligheid onderzoekers Adam Iwaniuk en Borys Popławski ontdekt een beveiligingslek, die “kan een kwaadaardige container (met minimale tussenkomst van de gebruiker) het overschrijven van de host runc binaire en dus krijgen root-level code worden uitgevoerd op de host. Het niveau van de interactie van de gebruiker wordt in staat
uitvoeren van een opdracht (het maakt niet uit of de opdracht is niet-aanvaller-gecontroleerd) (als root).”
Om dit te doen, de aanvaller heeft een kwaadaardige container binnen uw systeem. Maar, dit is niet zo moeilijk. Lui systeembeheerders vaak gebruik van de eerste container die wordt geleverd bij de hand zonder te controleren om te zien of de software binnen die container is wat het beweert te zijn.
Hoe slecht is dit? Zo slecht als je je kunt voorstellen. Scott McCarty, Red Hat technisch product manager voor containers, waarschuwde:
De onthulling van een lek (CVE-2019-5736) in runc en docker illustreert een slechte scenario voor veel IT-beheerders, managers en CxOs. Containers vertegenwoordigen een stap terug in de richting van gedeelde systemen waar de toepassing van veel verschillende gebruikers allemaal op dezelfde Linux-host. Misbruik maken van deze kwetsbaarheid betekent dat de kwaadaardige code zou kunnen breken insluiting, wat niet alleen een container, maar de hele container host, uiteindelijk afbreuk te doen aan de honderden tot duizenden andere containers op draait. Hoewel er zeer weinig incidenten die in aanmerking konden komen als een doemscenario voor enterprise IT, een trapsgewijze set van exploits die een breed scala van onderling verbonden systemen en productie in aanmerking komt…en dat is precies wat deze kwetsbaarheid vormt.”
Naast runC, Sarai meldt dat het probleem kan ook een aanval container systemen met LXC en Apache Mesos container code. Dus, ja, als je iedere vorm van containers, moet u de patch zo snel mogelijk.
De meeste, zo niet alle, cloud container systemen zijn kwetsbaar voor deze potentiële aanval. Amazon Web Services (AWS), bijvoorbeeld, stelt dat hoewel er een patch beschikbaar voor de Amazon Linux, patches nog worden uitgerold voor de Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Container Service voor Kubernetes (Amazon EKS), en AWS Fargate.
Moet lezen
De top 5 mythen over cloud-gebaseerde beveiliging (TechRepublic)
Hoe om te stoppen met websites met behulp van uw computer naar mijn Bitcoin (CNET)
Red Hat stelt dat als je SELinux implementeert, deze bug u niet mag hinderen. Echter, u moet SELinux draaien, en het is ingesteld op standaard in Red Hat Enterprise Linux (RHEL), veel systeembeheerders draaien niet omdat het moeilijk bij te houden.
Daarnaast Sarai, notities, “Deze kwetsbaarheid is *niet* geblokkeerd door de standaard AppArmor beleid, noch door de standaard SELinux tactiek in Fedora (omdat container processen lijken te worden uitgevoerd als container_runtime_t). Echter, het *is* geblokkeerd door het juiste gebruik van naamruimten (waar de host root is niet in kaart gebracht in de container gebruiker naamruimte).”
De snelle en eenvoudige antwoord is: een patch runC zo spoedig mogelijk.
Goed? Waar wacht je nog op? Krijgen. Dit heeft de potentie om ernstige schade aan uw systemen.
Verwante Artikelen:
Vervelende security bug gevonden en opgelost in Linux aptNew Linux Systemd gaten in de beveiliging uncoveredNew lek effecten de meeste Linux en BSD distributies
Verwante Onderwerpen:
Cloud
Beveiliging TV
Data Management
CXO
Datacenters