Free

RunC-Schwachstellen ermöglichen Angreifern Host-Zugriff

Im Befehlszeilen-Tool runC wurden mehrere Sicherheitslücken entdeckt, die Bedrohungsakteure ausnutzten könnten, um die Grenzen des Containers zu überwinden und Folgeangriffe durchzuführen. runC ist ein Tool zum Anlegen und Ausführen von Containern unter Linux. Es wurde ursprünglich als Teil von Docker entwickelt und später in eine separate Open-Source-Bibliothek ausgegliedert.

Bedrohungen
Lesezeit 2 Min.

Die runC-Schwachstellen wurden vom Cybersecurity-Anbieter Snyk unter dem Namen Leaky Vessels zusammengefasst. Sie könnten es einem Angreifer ermöglichen, aus dem Container auszubrechen und unerlaubten Zugriff auf das Host-Betriebssystem des Computers zu bekommen. Dadurch könnten die Kriminellen möglicherweise an sensible Daten wie Anmeldedaten und Kundeninformationen gelangen. Besonders problematisch wird es, wenn der erlangte Zugriff auch Superuser-Rechte umfasst, da dies zusätzliche Angriffsmöglichkeiten eröffnen würde. Das hat das Unternehmen mitgeteilt.

Hier eine Liste der schwersten Sicherheitslücken mit ihren jeweiligen Schweregraden:

  • CVE-2024-21626 (CVSS-Score: 8.6): Hier besteht die Gefahr, dass ein Angreifer aus dem Container ausbricht, indem er den Prozess.cwd des runC-Befehls manipuliert und Informationen zu durchgesickerten Dateideskriptoren ausnutzt.
  • CVE-2024-23651 (CVSS-Score: 8.7): Diese Lücke ermöglicht es einem Angreifer, aus dem Buildkit-Container auszubrechen, indem er eine sogenannte „Race Condition“ ausnutzt, also eine Art Wettlaufsituation, um Sicherheitsmechanismen zu umgehen.
  • CVE-2024-23652 (CVSS-Score: 10.0): Hier besteht die größte Gefahr. Ein Angreifer kann während der Build-Zeit den Buildkit-Container abbauen und dabei willkürlich Dinge löschen, was zu erheblichen Sicherheitsproblemen führen kann.
  • CVE-2024-23653 (CVSS-Score: 9.8): Diese Lücke betrifft die GRPC SecurityMode-Berechtigungsprüfung und ermöglicht einem Angreifer, während der Bauphase aus dem Container auszubrechen.

Schwachstelle wird bisher noch nicht genutzt

Es gibt keine Hinweise darauf, dass bisher eine der neu entdeckten Schwachstellen in der realen Welt ausgenutzt wurde. Trotzdem wurden die Probleme jetzt in der runC-Version 1.1.12 behoben, nachdem sie bereits im November 2023 bekannt und nicht-öffentlich gemeldet wurden.

Snyk betont, dass diese Schwachstellen Komponenten von weit verbreiteten, grundlegenden Container-Engines und Build-Tools betreffen. Deshalb empfiehlt das Unternehmen nachdrücklich, dass Nutzer die Updates von allen Anbietern überprüfen sollten, die ihre Container-Umgebungen bereitstellen, darunter Docker, Kubernetes-Anbieter, Cloud-Container-Dienste und Open-Source-Communities.

Docker erklärte in einem unabhängigen Advisory, dass die Schwachstellen nur dann ausgenutzt werden können, wenn sich ein Benutzer aktiv auf bösartige Inhalte einlässt, indem er sie in den Erstellungsprozess einbindet oder einen Container von einem gefälschten Image ausführt.

„Zu den möglichen Auswirkungen gehören der unbefugte Zugriff auf das Host-Dateisystem, die Beeinträchtigung der Integrität des Build-Caches und im Fall von CVE-2024-21626 sogar eine Situation, die zu einem kompletten Ausbruch aus dem Container führen könnte“, so Docker.

Amazon Web Services (AWS) und Google Cloud haben ebenfalls eigene Warnungen veröffentlicht, in denen sie ihre Kunden auffordern, bei Bedarf entsprechende Maßnahmen zu ergreifen.

Schon im Februar 2019 haben die RunC-Verantwortlichen eine andere hochgefährliche Schwachstelle (CVE-2019-5736, CVSS-Score: 8.6) behoben, die von einem Angreifer missbraucht werden könnte, um aus dem Container auszubrechen und Root-Zugriff auf dem Host zu erhalten.

Sicherheitslücken in Clouds und Containern bleiben ein Risiko, weil Unternehmen bei der Einrichtung oft zu viele Berechtigungen und administrative Privilegien vergeben. Dadurch haben Angreifer Gelegenheit, Dinge falsch zu konfigurieren und ihre Rechte zu erweitern.

Laut dem Cloud-Native Security and Usage Report 2024 von Sysdig birgt diese Praxis ein unnötiges Risiko. Viele ernsthafte Sicherheitsvorfälle in der Cloud hängen mit der schlechten Verwaltung von Identitäten, Zugriff und Privilegien zusammen. Dies ist oft der erste Schritt in einer Angriffskette, und wenn die Identität kompromittiert ist, können Anwendungen missbraucht, Systeme kompromittiert oder Daten abgegriffen werden.

Diesen Beitrag teilen: