Kritische Docker Sicherheitslücken erlauben Host System Zugriff

Table of Contents

CVE-2024-21626 betrifft die runc-Software, ein Kommandozeilen-Tool zur Erstellung und Ausführung von Containern auf Linux gemäß der OCI-Spezifikation. Diese Schwachstelle wurde in allen Versionen von runc bis einschließlich Version 1.1.11 entdeckt und ermöglicht unter bestimmten Bedingungen einen Containerausbruch, was Angreifern Zugriff auf das darunterliegende Host-Betriebssystem gewähren kann. Dies kann durch die Ausführung eines bösartigen Images oder durch den Aufbau eines Images mit einer bösartigen Dockerfile oder einem bösartigen Oberbild (z.B. bei Verwendung von FROM) erfolgen. Die Sicherheitslücke ist besonders kritisch, da sie es ermöglicht, von der im Container ausgeführten Umgebung auf das gesamte Host-Dateisystem zuzugreifen und potenziell weitere Angriffe mit Superuser-Rechten zu initiieren​​​​.

Um diese Schwachstelle zu beheben, wurde in runc Version 1.1.12 ein Patch bereitgestellt. Es wird dringend empfohlen, alle Instanzen von runc auf diese oder eine neuere Version zu aktualisieren, sowie alle Software, die von runc abhängt. Darüber hinaus sollten Anwender den Empfehlungen von Softwareanbietern folgen, die runc in ihren Produkten nutzen, insbesondere bei gehosteten Lösungen wie gemanagten Kubernetes-Diensten von bekannten Cloud-Anbietern​​.

Leaky Vessels Schwachstellen

Neben der CVE-2024-21626 existieren noch die Schwachstellen CVE-2024-23651, CVE-2024-23652 und CVE-2024-23653. Diese betreffen BuildKit, ein Toolkit, das von Docker für den effizienten, ausdrucksstarken und wiederholbaren Prozess der Umwandlung von Quellcode in Build-Artefakte genutzt wird. Diese Sicherheitslücken wurden von Snyk entdeckt und könnten unter bestimmten Bedingungen von Angreifern ausgenutzt werden, um aus dem Container auszubrechen und Zugriff auf das Host-Betriebssystem zu erlangen.

CVE-2024-23652 beispielsweise ermöglicht das willkürliche Löschen von Dateien und Verzeichnissen im Host-Betriebssystem während des Build-Prozesses, wenn ein bösartiges Dockerfile oder ein Upstream-Image verwendet wird. Dies geschieht durch den Versuch von BuildKit, temporär hinzugefügte Verzeichnisse nach ihrer Nutzung zu säubern, was bei Fehlkonfigurationen zu unbeabsichtigtem Löschen führen kann. Snyk empfiehlt dringend, alle Instanzen von BuildKit auf Version v0.12.5 oder später zu aktualisieren, um sich vor diesen Sicherheitslücken zu schützen​​.

Diese Sicherheitslücken, zusammen mit CVE-2024-21626, wurden als “Leaky Vessels” bezeichnet und könnten es Angreifern ermöglichen, unbefugten Zugang zum darunterliegenden Host-Betriebssystem zu erhalten. Es gibt Stand Februar 2024 keine Beweise dafür, dass diese Schwachstellen bisher ausgenutzt wurden.

Related Posts

Hacker kombinieren Cryptominer XMRig mit 9 Hits Viewer für mehr Profit

Es tut mir leid für das Missverständnis. Hier ist eine Zusammenfassung der Situation mit Docker-Hosts, die von XMRig und 9hits Viewer Malware betroffen sind, auf Deutsch:

Read More

Erste Zero Day Lücke 2024 bei Safari Browser entdeckt

Die kürzlich entdeckte Zero-Day-Sicherheitslücke in Apples WebKit, die den Safari-Browser antreibt, wurde als CVE-2024-23222 identifiziert und ist bereits in der Liste der “Known Exploited Vulnerabilities” (KEV) der US Cybersecurity and Infrastructure Security Agency (CISA) aufgeführt​​​​. Dies deutet darauf hin, dass die Schwachstelle aktiv ausgenutzt wird und daher besonders einflussreich sein könnte.

Read More

Password Spray Attack

Ein “Password Spray Attack” (Passwort-Sprühangriff) ist eine Art von Cyberangriff, bei dem der Angreifer versucht, unbefugten Zugang zu einer großen Anzahl von Konten zu erlangen, indem er einige häufig verwendete Passwörter benutzt. Dieser Angriff unterscheidet sich von traditionellen Brute-Force-Angriffen durch seine Herangehensweise. Bei einem Brute-Force-Angriff versucht der Angreifer, viele Passwörter bei einem Benutzernamen auszuprobieren. Im Gegensatz dazu verwendet der Angreifer bei einem Passwort-Sprühangriff ein paar gängige Passwörter, probiert diese jedoch bei vielen Benutzernamen aus.

Read More