डकर र कुबर्नेट्स कन्टेनरहरूबाट भाग्न अनुमति दिने रनकमा जोखिम

डकर र कुबर्नेट्समा प्रयोग हुने आइसोलेटेड कन्टेनरहरू सुरु गर्नको लागि runc टुलकिटमा एउटा भेद्यता (CVE-2024-21626) पत्ता लागेको थियो। यो भेद्यताले आइसोलेटेड कन्टेनर भित्रबाट होस्ट वातावरणको फाइल प्रणालीमा पहुँच गर्न अनुमति दिन्छ। आक्रमणको समयमा, आक्रमणकारीले होस्ट वातावरणमा केही कार्यान्वयनयोग्य फाइलहरूलाई ओभरराइट गर्न सक्छ, जसले गर्दा कन्टेनर बाहिर तिनीहरूको कोड कार्यान्वयन हुन्छ। यो समस्याले runc, वा LXC प्रयोग गर्ने crun र youki रनटाइमहरूलाई असर गर्दैन। runc १.१.१२ मा यो भेद्यता समाधान गरिएको थियो।

डकर वा कुबर्नेट्स उपकरणहरू प्रयोग गर्दा, विशेष रूपमा तयार पारिएको कन्टेनर छवि तयार गरेर आक्रमण गर्न सकिन्छ। एक पटक स्थापना र सुरु भएपछि, कन्टेनरले बाह्य फाइल प्रणाली पहुँच गर्न सक्छ। डकर प्रयोग गर्दा, विशेष रूपमा तयार पारिएको डकरफाइल मार्फत शोषण सम्भव छ। "runc exec" आदेशको साथ कन्टेनरमा प्रक्रियाहरू सुरु गरेर पनि जोखिमको शोषण गर्न सकिन्छ, काम गर्ने निर्देशिकालाई होस्ट वातावरण नेमस्पेसमा बाँधेर।

यो जोखिम आन्तरिक फाइल वर्णनकर्ताहरूको चुहावटको कारणले हुन्छ। कन्टेनर भित्र कोड चलाउनु अघि, runc ले O_CLOEXEC फ्ल्याग प्रयोग गरेर सबै फाइल वर्णनकर्ताहरू बन्द गर्दछ। यद्यपि, setcwd() प्रकार्यको पछिल्ला कार्यान्वयन पछि, काम गर्ने निर्देशिकामा औंल्याउने फाइल वर्णनकर्ता खुला रहन्छ र कन्टेनर सुरु भएपछि पनि पहुँचयोग्य रहन्छ। यो बाँकी फाइल वर्णनकर्ता प्रयोग गरेर होस्ट वातावरण विरुद्ध धेरै आधारभूत आक्रमण परिदृश्यहरू प्रस्तावित छन्।

उदाहरणका लागि, आक्रमणकारीले कन्टेनर छविमा रहेको process.cwd प्यारामिटरलाई "/proc/self/fd/7/" मा इंगित गर्न कन्फिगर गर्न सक्छ, जसले कन्टेनरमा रहेको pid1 प्रक्रियालाई होस्ट वातावरणको माउन्ट स्पेसमा अवस्थित काम गर्ने डाइरेक्टरीमा बाँध्नेछ। यसरी, कन्टेनर छविलाई "/proc/self/fd/7/../../../bin/bash" सुरु गर्न कन्फिगर गर्न सकिन्छ र, शेल स्क्रिप्ट कार्यान्वयन मार्फत, "/proc/self/exe" को सामग्रीहरू ओभरराइट गर्न सकिन्छ, जसले होस्टको /bin/bash को प्रतिलिपिलाई इंगित गर्दछ।

अर्को आक्रमण भेरियन्टले कन्टेनर भित्र सीमित आक्रमणकारीलाई होस्ट वातावरण निर्देशिकामा पहुँच प्राप्त गर्न अनुमति दिन्छ यदि विशेषाधिकार प्राप्त प्रक्रियाहरू निर्दिष्ट कन्टेनरमा "--cwd" विकल्पको साथ "runc exec" आदेश प्रयोग गरेर सुरु गरिन्छ। आक्रमणकारीले सुरु गरिएको प्रक्रियाको मार्गलाई "/proc/self/fd/7/" मा औंल्याउने प्रतीकात्मक लिङ्कले प्रतिस्थापन गर्न सक्छ र होस्ट-साइड फाइल प्रणाली पहुँच गर्न "/proc/$exec_pid/cwd" खोल्न सक्छ। आक्रमणकारीले होस्ट वातावरण ("/proc/self/fd/7/../../../bin/bash") बाट एक्जिक्युटेबल फाइल सुरु गरेर र त्यसपछि सुरु गरिएको फाइललाई सन्दर्भ गर्ने "/proc/$pid/exe" फाइललाई ओभरराइट गरेर होस्ट वातावरणमा कार्यान्वयनयोग्य फाइलहरू ओभरराइट गर्न सक्छ।

थप रूपमा, डकर टूलकिट कम्पोनेन्टहरूमा थप पाँच कमजोरीहरू पहिचान गरियो:

• CVE-2024-23651 BuildKit मा एक रेस अवस्था हो, जुन डकरले स्रोत कोडलाई निर्माण कलाकृतिहरूमा रूपान्तरण गर्न प्रयोग गर्ने प्याकेज हो। समानान्तर निर्माण चरणहरूमा क्यास ("--mount=type=cache,source=") भएको एकल साझा माउन्ट पोइन्टको प्रयोगको कारणले गर्दा जोखिम हुन्छ। यसले BuildKit मा विशेष रूपमा तयार पारिएको Dockerfile प्रशोधन गर्दा निर्माण कन्टेनरबाट होस्ट वातावरणमा फाइलहरूमा पहुँच गर्न अनुमति दिन्छ। BuildKit 0.12.5 मा जोखिम फिक्स गरिएको छ।
• CVE-2024-23652 - "--mount" विकल्प प्रयोग गर्दा माउन्ट पोइन्टको लागि सिर्जना गरिएका खाली फाइलहरू मेटाउँदा त्रुटिले विशेष रूपमा तयार पारिएको डकरफाइल प्रशोधन गर्दा कन्टेनर बाहिर फाइल मेटाउन अनुमति दिन्छ। यो जोखिम BuildKit 0.12.5 मा फिक्स गरिएको छ।
• CVE-2024-23653 — BuildKit मा भएको API कार्यान्वयन त्रुटिले security.insecure सेटिङलाई ध्यान नदिई, कन्टेनरलाई उच्च विशेषाधिकारहरू सहित कार्यान्वयन गर्न अनुमति दिन्छ। यो जोखिम BuildKit 0.12.5 मा फिक्स गरिएको छ।
• CVE-2024-23650 — खराब BuildKit क्लाइन्ट वा फ्रन्टएन्डले BuildKit पृष्ठभूमि प्रक्रिया क्र्यास गर्न सक्छ। यो जोखिम BuildKit 0.12.5 मा समाधान गरिएको छ।
• CVE-2024-24557 मोबीमा रहेको क्यास पोइजनिङ भेद्यता हो, जुन विशेष कन्टेनर आइसोलेसन प्रणालीहरू निर्माण गर्ने कम्पोनेन्ट हो। विशेष रूपमा तयार पारिएको कन्टेनर छवि प्रशोधन गर्दा, पछिल्ला निर्माण चरणहरूमा प्रयोग गर्न सकिने डेटा क्यास गर्न सम्भव छ। यो भेद्यता मोबी २५.०.२ र २४.०.९ मा फिक्स गरिएको छ।

स्रोत: opennet.ru