उन्होंने एक भेद्यता का पता लगाया जो कोड को कंटेनर के बाहर निष्पादित करने की अनुमति देता है और डॉकर और कुबेरनेट्स को प्रभावित करता है

भेद्यता

यदि शोषण किया जाता है, तो ये खामियां हमलावरों को संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती हैं या आम तौर पर समस्याएं पैदा कर सकती हैं

हाल ही में डी की खबर आईरनसी में नई कमजोरियों की खोज (लिनक्स पर कंटेनर बनाने और चलाने के लिए एक सीएलआई उपकरण) सीवीई-2024-21626 और बिल्डकिट में (सीवीई-2024-23651, सीवीई-2024-23652 और सीवीई-2024-23653), जा रहा है सबसे बड़ी चिंता का विषय CVE-2024-21626, चूँकि यह एक गंभीर भेद्यता है जो होस्ट ऑपरेटिंग सिस्टम के फ़ाइल सिस्टम तक पहुँच की अनुमति देती है।

CVE-2024-21626 एक अलग कंटेनर से होस्ट पर्यावरण फ़ाइल सिस्टम तक पहुंच की अनुमति देता है। किसी हमले के दौरान, एक हमलावर होस्ट वातावरण में कुछ निष्पादन योग्य फ़ाइलों को अधिलेखित कर सकता है और कंटेनर के बाहर उनके कोड को निष्पादित कर सकता है।

यह विशेष रूप से कुबेरनेट्स जैसे वातावरण में चिंताजनक है, जहां कंटेनर साझा नोड्स पर चलते हैं। इस भेद्यता का फायदा उठाकर, एक हमलावर होस्ट पर विशेषाधिकार प्राप्त नियंत्रण प्राप्त कर सकता है, संभावित रूप से उसी नोड पर अन्य पॉड्स और दूसरों के डेटा तक अनधिकृत पहुंच प्रदान कर सकता है।

इसके अलावा, यह भेद्यता कंटेनर वातावरण में चल रही निर्माण प्रक्रियाओं को भी प्रभावित करता है, जिससे हमलावरों को निर्माण प्रक्रिया में पैर जमाने का मौका मिलता है। यह परिदृश्य इसके परिणामस्वरूप हमलावर को उच्च साख प्राप्त हो सकती है, जो आपको महत्वपूर्ण उत्पादन कार्यभार या अन्य संवेदनशील वातावरण तक पहुंच प्रदान करेगा। संक्षेप में, प्रभाव केवल जानकारी लीक करने या मनमाना कोड निष्पादित करने से कहीं आगे तक फैला हुआ है, और संपूर्ण विकास और उत्पादन वातावरण की अखंडता और सुरक्षा से समझौता कर सकता है।

ऐसे वातावरण में जहां डॉकर या कुबेरनेट्स का उपयोग किया जाता है, एक विशेष रूप से तैयार की गई कंटेनर छवि का उपयोग करके हमला किया जा सकता है। एक बार जब यह छवि स्थापित और लॉन्च हो जाती है, तो हमलावर कंटेनर से बाहरी फ़ाइल सिस्टम तक पहुंच सकता है। डॉकर के मामले में, विशेष रूप से डिज़ाइन किए गए डॉकरफाइल के माध्यम से काम करना संभव है। यदि "रनक एक्ज़ीक्यूटिव" कमांड का उपयोग करके कंटेनर में प्रक्रियाएं शुरू की जाती हैं और कार्यशील निर्देशिका को होस्ट वातावरण के नेमस्पेस से जोड़ा जाता है, तो भेद्यता का भी फायदा उठाया जा सकता है।

मुख्य समस्या एक फ़ाइल डिस्क्रिप्टर लीक है और O_CLOEXEC करते समय सभी कंटेनर कोड निष्पादित करने से पहले फ़ाइल डिस्क्रिप्टर, फ़ाइल setcwd(2) करते समय डिस्क्रिप्टर खुला होता है, जिसका अर्थ है कि reference का कार्य मोड सेट करके कंटेनर में जीवित रखा जा सकता है फ़ाइल डिस्क्रिप्टर के माध्यम से हल किए गए पथ के रूप में निर्देशिका (हाँ)।नॉन-डंपेबल बिट execve(2) के बाद सेट नहीं है, जिसका मतलब है कि वहाँ है खराब कॉन्फ़िगरेशन के अलावा इस पर हमला करने के कई तरीके)।

भेद्यता का कारण आंतरिक फ़ाइल डिस्क्रिप्टर का लीक होना है. कंटेनर के अंदर कोड निष्पादित करने से पहले, runc O_CLOEXEC ध्वज का उपयोग करके सभी फ़ाइल डिस्क्रिप्टर को बंद कर देता है। हालाँकि, setcwd() के बाद के निष्पादन एक फ़ाइल डिस्क्रिप्टर को खुला छोड़ देते हैं जो कार्यशील निर्देशिका को इंगित करता है और कंटेनर शुरू होने के बाद भी पहुंच योग्य रहता है। शेष फ़ाइल डिस्क्रिप्टर का उपयोग करके होस्ट वातावरण पर हमला करने के लिए कई बुनियादी परिदृश्य प्रस्तावित किए गए हैं।

यह उल्लेख है कि भेद्यता शोषण का एक उदाहरण यदि कोई कंटेनर कॉन्फ़िगर किया गया था:

Process.cwd को /proc/self/fd/7/ पर सेट करने के लिए, परिणामी pid1 प्रक्रिया में होस्ट के माउंट नेमस्पेस में एक कार्यशील निर्देशिका होगी और इसलिए उत्पन्न प्रक्रिया पूरे सिस्टम तक पहुंचने में सक्षम होगी। होस्ट फ़ाइलें। यह अकेले रनक के विरुद्ध कोई शोषण नहीं है। एक हमलावर उपयोगकर्ता को दुर्भावनापूर्ण कंटेनर छवि चलाने के लिए भी धोखा दे सकता है, जिससे कंटेनर प्रक्रिया रनसी के माध्यम से होस्ट फ़ाइल सिस्टम तक पहुंच सकती है। यह होस्ट बायनेरिज़ को ओवरराइट करने तक विस्तारित हो सकता है, जिसके परिणामस्वरूप कंटेनर पूरी तरह से बच जाएगा। 

अंत में, यह उल्लेख किया जाना चाहिए कि रनसी संस्करण 1.1.12 में भेद्यता को ठीक कर दिया गया है, इसलिए अनुशंसा नए संस्करण में अद्यतन करने की है। यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में


अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।