Am 18.03.2024 ist eine Container Escape Schwachstelle bei Podman und Buildah bekannt geworden. Die Sicherheitslücke CVE-2024-1753 ermöglicht es einem Container, seine Beschränkungen zu umgehen und auf das Dateisystem des Hostsystems zuzugreifen. Dies eröffnet Möglichkeiten für weitreichende Angriffe auf das Hostsystem, die dazu führen können, dass Angreifer vollständige Kontrolle über den Container Host erlangen.
Die Schwachstelle resultiert aus einem Fehler in der Art und Weise, wie Podman und Buildah das Einbinden von Volumes während des Build-Prozesses von Containern handhaben. Ein speziell gestalteter Containerfile könnte dies ausnutzen, um das Root-Dateisystem des Hosts in den Container einzubinden. Eine solche Aktion könnte während des RUN-Schritts im Build-Prozess erfolgen, indem eine Dummy-Image mit einer symbolischen Verknüpfung zum Root-Dateisystem des Hosts als Quelle für die Einbindung verwendet wird. Folglich hätten die Befehle im RUN-Schritt Schreib- und Lesezugriff auf das Dateisystem des Hosts, was einen vollständigen Containerausbruch zur Build-Zeit ermöglichen würde.
Um die Schwachstelle auszunutzen, muss der Container mit Root-Rechten ausgeführt werden. Zudem muss SELinux deaktiviert oder im permissiven Modus sein. Dies unterstreicht die Wichtigkeit, Container nicht mit mehr Rechten laufen zu lassen, als unbedingt notwendig.
Benutzer von Podman und Buildah sollten umgehend die verfügbaren Sicherheitsupdates überprüfen und anwenden, um sich vor dieser Schwachstelle zu schützen. Es ist ratsam, die Ausführung von Containern mit minimalen Berechtigungen zu prüfen und SELinux aktiviert und korrekt konfiguriert zu lassen, um die Sicherheitsrisiken zu minimieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: