Runc 容器逃逸漏洞的 PoC 已发布,谷歌亚马逊等受影响
编译:代码卫士团队
最近披露的容器逃逸漏洞的 PoC 已发布。该漏洞影响多个流行的云平台,包括 AWS、Google Cloud和多个 Linux 发行版本。
上个月,该缺陷出现在用于多数容器如 cri-o、containerd、Kubernetes、Podman 等中的轻量级携带式容器运行时 runc 中。该漏洞的编号是 CVE-2019-5736,在最少用户交互的情况下可被用于在主机上执行代码。
漏洞披露一周后,GitHub 上出现了该容器逃逸的 Go 实现。在容器中获得 root (uid 0) 的情况下即可奏效。
该利用代码的作者解释称,“攻击者需要在容器中获得命令执行并启动实施监听的恶意二进制。当有人(攻击者或受害者)使用呢 docker exec 进入容器时,它将触发以 root 权限执行代码的利用。”
这个实现本质上是覆写了主机上的 runc 并确保系统将无法运行 Docker 容器。愿意尝试该利用的人应该首先备份 /usr/bin/docker-runc/ 或 /usr/bin/runc 并检查 /usr/sbin。
然而,这只是利用该漏洞的一种场景。第二种场景涉及使用能够触发该利用的恶意 Docker 图像,且无需在容器中 exec。
多家大厂受影响
上周,亚马逊和谷歌证实称自家产品受影响,RedHat、Debian 和 Ubuntu.LXC 也受影响。
之后,VMware 也证实称产品受影响,并发布补丁解决 VMware Integrated OpenStack with Kubernetes(VIO-K) 、VMware PKS (PKS)、WMware vCloud Director Container Service Extension(CSE) 和 vSphere Integrated Containers (VIC) 中的漏洞。
VMware 在安全公告中指出,“VMware 产品更新了 runc 容器运行时中的错误处理的文件描述符漏洞。成功利用该漏洞将导致恶意容器覆写主机 runc 二进制的内容并执行任意代码。”
思科表示目前尚不确定哪些产品和云服务受影响,正在开展相关调查。截至目前,思科确认 Cisco Metacloud 产品未受影响。
推荐阅读
原文链接
https://www.securityweek.com/exploit-code-published-recent-container-escape-vulnerability
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。