Leaky Vessels - киберугроза нового поколения

Компания Snyk обнаружила 4 уязвимости в системах виртуализации, получившие общее название Leaky Vessels. Недостатки позволяют злоумышленнику выходить за пределы изолированных контейнеров и получать доступ к данным в операционной системе хоста.

Контейнеры — это приложения, упакованные в файл вместе со всеми зависимостями, исполняемыми файлами и кодом, необходимыми для их запуска. Они выполняются на платформах вроде Docker и Kubernetes в виртуализированной среде, изолированной от операционной системы. Уязвимость выхода из контейнера (container escape) возникает, когда атакующий или вредоносное приложение преодолевает изоляцию среды и получает несанкционированный доступ к хост-системе или другим контейнерам.

Обнаруженные уязвимости затрагивают инфраструктуру и инструменты сборки контейнеров runc и Buildkit, что потенциально позволяет атакующему осуществлять атаки типа «выход из контейнера» на различные программные продукты. Поскольку runc и Buildkit используются в широком круге популярных программ для управления контейнерами, таких как Docker и Kubernetes, риск атак значительно возрастает.

Демонстрация использования Leaky Vessels для доступа к данным на хосте

Уязвимости Leaky Vessels включают в себя следующие:

• CVE-2024-21626 (оценка CVSS: 8.6): Ошибка, связанная с порядком выполнения команды WORKDIR в runc, позволяющая хакеру выйти за пределы изолированной среды контейнера и получить несанкционированный доступ к операционной системе хоста.
• CVE-2024-23651 (оценка CVSS: 8.7): состояние гонки (race condition) при обработке кэша монтирования Buildkit, приводящее к непредсказуемому поведению и потенциально позволяющее атакующему манипулировать процессом для получения несанкционированного доступа.
• CVE-2024-23652 (оценка CVSS: 10.0): Уязвимость, позволяющая произвольно удалять файлы или директории во время фазы разборки контейнера Buildkit, что может привести к отказу в обслуживании (Denial of Service, DoS), повреждению данных или несанкционированной манипуляции данными.
• CVE-2024-23653 (оценка CVSS: 9.8): Уязвимость возникает из-за недостаточной проверки привилегий в интерфейсе Buildkit GRPC, что позволяет киберпреступнику выполнять действия за пределами разрешений, приводя к повышению привилегий или несанкционированному доступу к конфиденциальным данным.

31 января 2024 года Buildkit выпустил исправления уязвимостей в версии 0.12.5, а runc устранил проблемы безопасности в версии 1.1.12. Docker также выпустил версию 4.27.0, включающую безопасные версии компонентов в своем движке Moby.

Amazon Web Services (AWS), Google Cloud и Ubuntu опубликовали соответствующие бюллетени безопасности, с рекомендацией необходимых шагов для устранения уязвимостей в программном обеспечении и услугах. Агентство CISA также опубликовало предупреждение, призывая администраторов облачных систем предпринять соответствующие меры для защиты своих систем от потенциальной эксплуатации.