Новости Leaky Vessels - киберугроза нового поколения

[NewsMaker]

Открытие ставит под сомнение безопасность контейнерных сред.

---

---

Компания Snyk Для просмотра ссылки Войди или Зарегистрируйся 4 уязвимости в системах виртуализации, получившие общее название Leaky Vessels. Недостатки позволяют злоумышленнику выходить за пределы изолированных контейнеров и получать доступ к данным в операционной системе хоста.

Контейнеры — это приложения, упакованные в файл вместе со всеми зависимостями, исполняемыми файлами и кодом, необходимыми для их запуска. Они выполняются на платформах вроде Docker и Kubernetes в виртуализированной среде, изолированной от операционной системы. Уязвимость выхода из контейнера (container escape) возникает, когда атакующий или вредоносное приложение преодолевает изоляцию среды и получает несанкционированный доступ к хост-системе или другим контейнерам.

Обнаруженные уязвимости затрагивают инфраструктуру и инструменты сборки контейнеров runc и Buildkit, что потенциально позволяет атакующему осуществлять атаки типа «выход из контейнера» на различные программные продукты. Поскольку runc и Buildkit используются в широком круге популярных программ для управления контейнерами, таких как Docker и Kubernetes, риск атак значительно возрастает.

---

---

Демонстрация использования Leaky Vessels для доступа к данным на хосте

Уязвимости Leaky Vessels включают в себя следующие:

• Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.6): Ошибка, связанная с порядком выполнения команды WORKDIR в runc, позволяющая хакеру выйти за пределы изолированной среды контейнера и получить несанкционированный доступ к операционной системе хоста.
• Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 8.7): состояние гонки (race condition) при обработке кэша монтирования Buildkit, приводящее к непредсказуемому поведению и потенциально позволяющее атакующему манипулировать процессом для получения несанкционированного доступа.
• Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 10.0): Уязвимость, позволяющая произвольно удалять файлы или директории во время фазы разборки контейнера Buildkit, что может привести к отказу в обслуживании (Denial of Service, DoS ), повреждению данных или несанкционированной манипуляции данными.
• Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8): Уязвимость возникает из-за недостаточной проверки привилегий в интерфейсе Buildkit GRPC, что позволяет киберпреступнику выполнять действия за пределами разрешений, приводя к повышению привилегий или несанкционированному доступу к конфиденциальным данным.

31 января 2024 года Buildkit выпустил Для просмотра ссылки Войди или Зарегистрируйся в версии 0.12.5, а runc Для просмотра ссылки Войди или Зарегистрируйся в версии 1.1.12. Docker также выпустил версию 4.27.0, включающую безопасные версии компонентов в своем движке Moby.

Для просмотра ссылки Войди или Зарегистрируйся (AWS), Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся опубликовали соответствующие бюллетени безопасности, с рекомендацией необходимых шагов для устранения уязвимостей в программном обеспечении и услугах. Агентство CISA также Для просмотра ссылки Войди или Зарегистрируйся предупреждение, призывая администраторов облачных систем предпринять соответствующие меры для защиты своих систем от потенциальной эксплуатации.