Runc abre permissão root para containers

Cerca de 4 mil Dockers estão em risco e outros milhares de gerenciadores de containers também estão: uma falha de segurança de ‘breakout’ (fuga) encontrada no RUNC, um runtime de contêiner, permite que contêineres mal-intencionados (e com interação mínima do usuário) sobrescrevam o binário do RUNC do host e com isso consigam execução de código em nível de root na máquina host. Em outras palavras: encrenca total.

Segundo Aleksa Sarai, engenheiro de Software Sênior da SUSE Linux, um dos mantenedores do RUNC, o grau de interação do usuário com o host é tal, que ele é capaz de executar qualquer comando como root dentro de um contêiner, em um dos seguintes contextos:

Criando um novo contêiner usando uma imagem controlada pelo invasor
Anexando (docker exec) a um contêiner existente, ao qual o invasor tinha acesso de escrita.

O RUNC runc é um utilitário de linha de comando de código aberto, projetado para gerar e executar contêineres e, no momento, é usado como runtime padrão para contêineres do Docker, Containerd, Podman e CRI-O.

A vulnerabilidade foi encontrada pelos pesquisadores de segurança Adam Iwaniuk e Borys Popławski, da Polônia, e agora tem o registro CVE-2019-5736. Ela já é automaticamente bloqueada em sistemas onde os namespaces de usuário são usados corretamente (containers que não estão rodando como root não são afetados). No entanto, afeta as máquinas onde o “a raiz do host é mapeada no namespace do usuário do contêiner”, já que a política padrão do AppArmor e do SELinux padrão do Fedora não bloqueiam a falha.

É importante mencionar que no caso do Fedora o Moby é o único afetado por essa falha de fuga do contêiner, enquanto o Docker e o Podman não são impactados porque estão executando todos os processos do contêiner como container_t.

De acordo com uma varredura pubolicada pelo CEO do Shodan, John Matherly, no YCombinator, aproximadamente 4.000 daemons do Docker estão expostos.
O mantenedor do RUNC afirmou que o “código de exploração será exposto * publicamente * 7 dias após o CRD (que é 2019-02-18). Se você tiver um runtime de contêiner, verifique se você não está vulnerável a esse problema antecipadamente.”

A Amazon, o Google e o Docker atualizaram seu software, e todos os usuários são aconselhados a atualizar para obter as correções contra o CVE-2019-5736.

99Shares

Powered by WordPress. Designed by Woo Themes