La comunidad Linux ahora está en el
proceso de resolver una vulnerabilidad recientemente descubierta con respecto al
lanzador de contenedores
runC utilizado por Docker, CRI-O, containerd y Kubernetes.
La vulnerabilidad que recibió el número de identificación
CVE-2019-5736 permite que un contenedor infectado sobrescriba el ejecutable runC en el host y obtenga acceso de root a él. Esto permite que dicho contenedor gane control sobre el host y le da al atacante la capacidad de ejecutar cualquier comando.
Alexa Sarai, ingeniera de soporte de runC en SUSE, publicó una
publicación en Openwall que indica que es muy probable que esta vulnerabilidad afecte la mayoría de las herramientas de manejo de contenedores. Además, señala que la vulnerabilidad se puede bloquear debido a la implementación correcta de los espacios de nombres de usuario, donde no se realiza la asignación del usuario raíz del host al espacio de nombres de usuario del contenedor.
Algunas compañías consideraron importante esta vulnerabilidad y le asignaron una
calificación adecuada. Sarai dice que, según la especificación CVSSv3, se le asigna una calificación de 7.2 sobre 10.
Ya se ha desarrollado un parche para corregir esta vulnerabilidad, que es accesible para todos los que usan runC. Muchos desarrolladores de software y proveedores de servicios en la nube han tomado medidas para instalar este parche.
Cabe señalar que la herramienta runC surgió gracias a los esfuerzos de Docker. Es una interfaz de línea de comandos compatible con OCI para iniciar contenedores.
Acerca de las vulnerabilidades modernas de software y hardware
Aunque la vulnerabilidad en cuestión no se aplica exclusivamente al ecosistema de Kubernetes, se puede decir que continúa la tradición de la vulnerabilidad
crítica descubierta a principios de este año en esta plataforma para la orquestación de contenedores. Esa vulnerabilidad afectó a todos los sistemas que usan Kubernetes; les da a los atacantes privilegios administrativos completos en cualquier nodo informático que se ejecute en el clúster de Kubernetes.
Se desarrolló rápidamente un parche para corregir esa vulnerabilidad, pero la mayoría de los especialistas notaron que esperan que se descubran otras vulnerabilidades de Kubernetes.
Rani Osnat, vicepresidente de marketing de Aqua Security, dice que siempre existirán vulnerabilidades de software. El hecho de que se descubriera cierta vulnerabilidad es bastante esperado. Él cree que se encontrarán otras vulnerabilidades, ya que son lo que puede esperar de cualquier software.
Lacework, una compañía de seguridad en la nube,
descubrió más de 21,000 sistemas de orquestación de contenedores abiertos y API en Internet el año pasado que podrían ser atacados por cibercriminales. Entre estos sistemas se encontraban los grupos Kubernetes, Docker Swarm, Mesos Marathon, Red Hat OpenShift y otros.
Además, los desarrolladores de kernel de Linux no están aburridos de
las vulnerabilidades de hardware como Spectrum, Meltdown y Foreshadow. El miembro de la Fundación Linux Greg Croa-Hartman, hablando el año pasado en la
Cumbre de Código Abierto en Vancouver, dijo que habría otras vulnerabilidades similares en el futuro.
Estimados lectores! ¿Ya ha protegido sus sistemas de la vulnerabilidad de runC?