Kwetsbaarheid met potentieel desastreuze gevolgen aangetroffen in containers

De vrees van veel IT-specialisten rond containers, is dat een aanvaller erin zou kunnen slagen een container te infecteren met malware. Die malware zou zich dan kunnen verspreiden en het volledige hostsysteem kunnen aanvallen. Nu blijkt die vrees niet ongegrond en hebben onderzoekers een kwetsbaarheid gevonden die dit mogelijk maakt.

Het gaat om RunC container breakout, ofwel CVE-2019-5736. RunC is de onderliggende container runtime voor onder meer Docker, Kubernetes en andere containerafhankelijke programma’s. Het is een open-source command-line tool die het mogelijk maakt om containers aan te maken en te draaien. Docker bouwde het oorspronkelijk, maar maakte het open-source, waardoor het breed in gebruik is. Sterker nog: de kans is groot dat als je containers gebruikt, ze op RunC draaien.

Malware plaatsen

Onderzoekers Adam Iwaniuk en Boryus Poplawski ontdekten een kwetsbaarheid in RunC die “een malwarecontainer er (met minimale interactie van de gebruiker) toe in staat stelt om de host RunC binary te overschrijven en daarmee root-level code execution op de host te krijgen.” Dat maakt het voor de aanvaller mogelijk om hun plannen vervolgens uit te voeren.

Om zichzelf deze toegang te verschaffen, hoeven hackers enkel een container met malware te plaatsen in het systeem. Dat is in de praktijk niet extreem ingewikkeld. Systeembeheerders controleren vaak lang niet alle software in containers om te controleren of de inhoud ook wel overeen komt met wat gespecificeerd staat.

Potentieel grote gevolgen

Tegenover de site ZDNet waarschuwt Scott McCarty, die voor Red Hat werkt als productmanager van containers, dat deze kwetsbaarheid potentieel grote gevolgen heeft. “Containers vertegenwoordigen een beweging terug naar gedeelde systemen, waarin apps van veel verschillende gebruikers op dezelfde Linux-host draaien”, aldus McCarty. Dat maakt het potentieel mogelijk om vele duizenden containers te infecteren en over te nemen.

“Alhoewel er maar een paar incidenten zijn die zich laten kenmerken als een doomsdayscenario voor de zakelijke IT, is een reeks exploits die impact heeft op een brede hoeveelheid onderling verbonden productiesystemen iets dat daaraan voldoet. En dat is precies hoe deze kwetsbaarheid zich laat kenmerken.”

Er is een patch beschikbaar voor de exploit, dus het advies aan alle systeembeheerders is om zo snel mogelijk hun software te updaten.