Se han revelado múltiples vulnerabilidades de seguridad en la herramienta de línea de comandos runC, utilizada para ejecutar contenedores en sistemas Linux. Estas debilidades podrían ser aprovechadas por actores malintencionados para evadir los límites del contenedor y llevar a cabo ataques posteriores.
Las vulnerabilidades, identificadas como CVE-2024-21626, CVE-2024-23651, CVE-2024-23652 y CVE-2024-23653, han sido agrupadas bajo el nombre de «Leaky Vessels» por el proveedor de ciberseguridad Snyk.
Según un informe compartido con The Hacker News, estas fugas de contenedores podrían permitir a los atacantes obtener acceso no autorizado al sistema operativo subyacente desde dentro del contenedor, posiblemente comprometiendo datos sensibles, como credenciales y la información del cliente, y lanzar ataques adicionales, especialmente cuando se obtienen privilegios de superusuario.
RunC es una herramienta utilizada para generar y ejecutar contenedores en entornos Linux. Originalmente desarrollada como parte de Docker en 2015, se convirtió en una biblioteca de código abierto independiente.
Cada vulnerabilidad se ha asignado un identificador CVE y se describe brevemente a continuación:
- CVE-2024-21626 (puntuación CVSS: 8.6): Fuga de contenedor relacionada con el comando
WORKDIRen runC. - CVE-2024-23651 (puntuación CVSS: 8.7): Fuga de contenedor debido a una condición de carrera en tiempo de compilación.
- CVE-2024-23652 (puntuación CVSS: 10.0): Eliminación arbitraria de contenedor Buildkit en tiempo de compilación.
- CVE-2024-23653 (puntuación CVSS: 9.8): Comprobación de privilegios GRPC SecurityMode que permite la fuga de contenedor en tiempo de compilación.
Además, las últimas versiones de Moby y BuildKit incluirán correcciones para CVE-2024-23650 y CVE-2024-24557, descubiertas respectivamente por un investigador independiente y a través de iniciativas de investigación internas de Docker.
La vulnerabilidad más grave es CVE-2024-21626, que podría resultar en una fuga de contenedor centrada en el comando WORKDIR.
Docker, en un aviso independiente, indicó que las vulnerabilidades solo pueden ser explotadas si un usuario interactúa activamente con contenido malicioso durante el proceso de compilación o al ejecutar un contenedor desde una imagen falsa.
«Estas vulnerabilidades solo pueden ser explotadas si un usuario interactúa activamente con contenido malicioso al incorporarlo en el proceso de construcción o al ejecutar un contenedor desde una imagen sospechosa (particularmente relevante para la vulnerabilidad de escape de contenedor CVE-2024-21626). Los impactos potenciales incluyen acceso no autorizado al sistema de archivos del host, compromiso de la integridad de la caché de construcción y, en el caso de CVE-2024-21626, un escenario que podría llevar a un escape completo del contenedor». Docker
Hasta la fecha, no hay evidencia de que estas vulnerabilidades hayan sido explotadas en la naturaleza. Sin embargo, se han abordado en la versión 1.1.12 de runC, lanzada hoy como respuesta a una divulgación responsable en noviembre de 2023.
Snyk recomienda a los usuarios verificar las actualizaciones de los proveedores de entornos de ejecución de contenedores, como Docker, Kubernetes, servicios de contenedores en la nube y comunidades de código abierto, ya que estas vulnerabilidades afectan a componentes ampliamente utilizados.
Amazon Web Services (AWS) y Google Cloud también han emitido alertas, instando a los clientes a tomar las medidas necesarias para mitigar los riesgos.
Estas vulnerabilidades recuerdan a una situación similar en febrero de 2019, cuando los mantenedores de runC abordaron otra falla de alta gravedad que permitía a un atacante salir del contenedor y obtener acceso de root en el host.
Se destaca que las debilidades en la seguridad de la nube y los contenedores continúan siendo un riesgo de ataque, especialmente cuando las organizaciones otorgan permisos excesivos y privilegios administrativos durante la configuración inicial, dejando oportunidades para la configuración incorrecta y la escalada de privilegios. Esta práctica ha sido identificada como un factor de riesgo en incidentes graves de seguridad en la nube, según el informe de Sysdig para 2024 sobre seguridad y uso de entornos nativos en la nube.
Más información:
https://www.docker.com/blog/docker-security-advisory-multiple-vulnerabilities-in-runc-buildkit-and-moby/
https://securityonline.info/cve-2024-21626-docker-confronts-critical-container-escape-threat/?expand_article=1
https://thehackernews.com/2024/02/runc-flaws-enable-container-escapes.html
https://aws.amazon.com/es/security/security-bulletins/AWS-2024-001/
https://cloud.google.com/support/bulletins?hl=es-419#gcp-2024-005
