CVE-2024-21626 betrifft die runc-Software, ein Kommandozeilen-Tool zur Erstellung und Ausführung von Containern auf Linux gemäß der OCI-Spezifikation. Diese Schwachstelle wurde in allen Versionen von runc bis einschließlich Version 1.1.11 entdeckt und ermöglicht unter bestimmten Bedingungen einen Containerausbruch, was Angreifern Zugriff auf das darunterliegende Host-Betriebssystem gewähren kann. Dies kann durch die Ausführung eines bösartigen Images oder durch den Aufbau eines Images mit einer bösartigen Dockerfile oder einem bösartigen Oberbild (z.B. bei Verwendung von FROM) erfolgen. Die Sicherheitslücke ist besonders kritisch, da sie es ermöglicht, von der im Container ausgeführten Umgebung auf das gesamte Host-Dateisystem zuzugreifen und potenziell weitere Angriffe mit Superuser-Rechten zu initiieren.
Um diese Schwachstelle zu beheben, wurde in runc Version 1.1.12 ein Patch bereitgestellt. Es wird dringend empfohlen, alle Instanzen von runc auf diese oder eine neuere Version zu aktualisieren, sowie alle Software, die von runc abhängt. Darüber hinaus sollten Anwender den Empfehlungen von Softwareanbietern folgen, die runc in ihren Produkten nutzen, insbesondere bei gehosteten Lösungen wie gemanagten Kubernetes-Diensten von bekannten Cloud-Anbietern.
Leaky Vessels Schwachstellen
Neben der CVE-2024-21626 existieren noch die Schwachstellen CVE-2024-23651, CVE-2024-23652 und CVE-2024-23653. Diese betreffen BuildKit, ein Toolkit, das von Docker für den effizienten, ausdrucksstarken und wiederholbaren Prozess der Umwandlung von Quellcode in Build-Artefakte genutzt wird. Diese Sicherheitslücken wurden von Snyk entdeckt und könnten unter bestimmten Bedingungen von Angreifern ausgenutzt werden, um aus dem Container auszubrechen und Zugriff auf das Host-Betriebssystem zu erlangen.
CVE-2024-23652 beispielsweise ermöglicht das willkürliche Löschen von Dateien und Verzeichnissen im Host-Betriebssystem während des Build-Prozesses, wenn ein bösartiges Dockerfile oder ein Upstream-Image verwendet wird. Dies geschieht durch den Versuch von BuildKit, temporär hinzugefügte Verzeichnisse nach ihrer Nutzung zu säubern, was bei Fehlkonfigurationen zu unbeabsichtigtem Löschen führen kann. Snyk empfiehlt dringend, alle Instanzen von BuildKit auf Version v0.12.5 oder später zu aktualisieren, um sich vor diesen Sicherheitslücken zu schützen.
Diese Sicherheitslücken, zusammen mit CVE-2024-21626, wurden als „Leaky Vessels“ bezeichnet und könnten es Angreifern ermöglichen, unbefugten Zugang zum darunterliegenden Host-Betriebssystem zu erhalten. Es gibt Stand Februar 2024 keine Beweise dafür, dass diese Schwachstellen bisher ausgenutzt wurden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: