Analizza la velocità del tuo sito

Come la vulnerabilità runc container breakout mette a rischio la sicurezza dei container

docker, Sicurezza informatica, Container, Vulnerabilità, Linux, Runc, Aggiornamenti di sicurezza

Il 29 gennaio 2019, è stata scoperta una grave vulnerabilità di sicurezza denominata CVE-2019-5736. Questa vulnerabilità, presente nel runtime dei container Linux runc, permette a un attaccante di ottenere privilegi di root all’interno del container, compromettendo quindi l’intero sistema. In questo articolo analizzeremo i dettagli della vulnerabilità, come funziona e come proteggere i container Linux da questa minaccia.

docker, Sicurezza informatica, Container, Vulnerabilità, Linux, Runc, Aggiornamenti di sicurezza

La vulnerabilità CVE-2019-5736 si presenta come un’operazione di attacco di “escape” del container, in cui un utente malintenzionato è in grado di ottenere l’accesso al sistema host. Questa vulnerabilità può essere sfruttata da un attaccante che ha già ottenuto l’accesso iniziale al container, ma che vuole acquisire accesso root sul sistema host. In sostanza, l’attaccante modifica il file binario del programma di avvio del container all’interno del sistema host, consentendogli di eseguire codice arbitrario con privilegi di root.

Ad esempio, ecco un esempio di comando che sfrutta questa vulnerabilità:

$ docker run -v /:/host -ti alpine chroot /host

Questo comando esegue una shell Alpine all’interno di un container, con accesso al file system host grazie al bind mount della root directory del file system host nella directory /host del container. Da lì, l’attaccante può facilmente modificare il binario runc all’interno del sistema host e sfruttare la vulnerabilità per ottenere privilegi di root.

Per risolvere questa vulnerabilità, è necessario applicare l’aggiornamento di sicurezza di runc alla versione 1.0.0-rc6 o successiva. Inoltre, per proteggere i container da eventuali future vulnerabilità, è importante assicurarsi di utilizzare sempre le ultime versioni dei runtime dei container e di eseguire i container con i privilegi minimi necessari.

La vulnerabilità CVE-2019-5736 è stata scoperta da Aleksa Sarai di SUSE e successivamente segnalata ai team di sviluppo di Docker, runc e altre tecnologie di containerizzazione. La vulnerabilità è stata classificata come critica e ha ricevuto un punteggio di gravità CVSS di 7,2.

La vulnerabilità è stata risolta nell’aggiornamento di sicurezza di runc alla versione 1.0.0-rc6 o successiva. Per verificare la versione di runc installata, è possibile utilizzare il seguente comando:

$ runc --version

Per proteggere i container dalla vulnerabilità, è necessario aggiornare runc e qualsiasi altra tecnologia di containerizzazione utilizzata.

eNigro.Tech