CyberArk Labs heeft ontdekt dat het voor hackers mogelijk is om zogenaamde defense-in-depth-strategieën te manipuleren om bij gevoelige informatie te komen. Bekende kernel-kwetsbaarheden kunnen onder meer in container-omgevingen worden gebruikt, waardoor een aanvaller naar de host kan ontsnappen.
Beveiligingstools voor Linux – bijvoorbeeld seccomp en namespaces – bieden over het algemeen goede bescherming, waardoor een cybercrimineel de benodigde stappen niet kan zetten. In sommige gevallen is de host kernel echter kwetsbaar, en dan zijn deze tools te manipuleren door bestaande lekken te gebruiken en uiteindelijk te gebruiken als escape-route naar de host.
CyberArk Labs geeft ook manieren om te voorkomen dat er al te veel schade geleden wordt door een dergelijke aanval. Eén optie is om een niet-generieke kernel-versie te gebruiken. “Het maken van een exploit voor een bekende kwetsbaarheid is om veel redenen moeilijk, waaronder vanwege KASLR”, aldus het bedrijf. “KASLR-omleidingen is vaak een uitdaging voor schrijvers van exploits. Het gebruik van een generieke kernel-versie voor productie-applicaties is een slecht idee, omdat het KASLR-omleidingen eenvoudiger maakt.”
Onderzoek
Het rapport is de meest recente vondst in een langer lopend onderzoek van het bedrijf naar hoe aanvallers bestaande kwetsbaarheden in kunnen zetten om container-beveiliging in DevOps-omgevingen te omzeilen.
“Containers bieden veel operationele voordelen, en hun standaard beveiligingsinstellingen vormen een heuse uitdaging voor aanvallers”, aldus Lavi Lazarovitz, hoofd van het security research team bij CyberArk Labs. “Het doel van dit onderzoek is begrijpen hoe aanvallers bestaande kwetsbaarheden in de host kunnen manipuleren vanuit de container om privileges uit te buiten en uiteindelijk een escape-route te maken uit de container. Begrijpen hoe aanvallers werken is belangrijk om te leren hoe bedrijven betere investeringen kunnen doen in DevOps-beveiliging en zo gevoelige data kunnen beschermen.”
De voorlopige bevindingen van dit onderzoek worden tijdens de RSA-conferentie deze week gepresenteerd.