La communauté Linux est maintenant en
train de résoudre une vulnérabilité récemment découverte concernant le
lanceur de conteneurs
runC utilisé par Docker, CRI-O, containerd et Kubernetes.
La vulnérabilité qui a reçu le numéro d'identification
CVE-2019-5736 permet à un conteneur infecté d'écraser l'exécutable runC sur l'hôte et d'y accéder en tant que root. Cela permet à un tel conteneur de prendre le contrôle de l'hôte et donne à l'attaquant la possibilité d'exécuter n'importe quelle commande.
Alexa Sarai, ingénieur de support runC chez SUSE, a publié un
post sur Openwall déclarant que cette vulnérabilité est très susceptible d'affecter la plupart des outils de gestion de conteneurs. En outre, il note que la vulnérabilité peut être bloquée en raison de l'implémentation correcte des espaces de noms d'utilisateurs, où le mappage de l'utilisateur racine de l'hôte à l'espace de noms d'utilisateurs du conteneur n'est pas effectué.
Certaines entreprises ont trouvé cette vulnérabilité importante en lui attribuant une
note appropriée. Sarai dit que, selon la spécification CVSSv3, elle se voit attribuer une note de 7,2 sur 10.
Un correctif a déjà été développé pour corriger cette vulnérabilité, accessible à tous ceux qui utilisent runC. De nombreux développeurs de logiciels et fournisseurs de services cloud ont pris des mesures pour installer ce correctif.
Il convient de noter que l'outil runC est né des efforts de Docker. Il s'agit d'une interface de ligne de commande compatible OCI pour le lancement de conteneurs.
À propos des vulnérabilités logicielles et matérielles modernes
Bien que la vulnérabilité en question ne s'applique pas exclusivement à l'écosystème Kubernetes, on peut dire qu'elle perpétue la tradition de la vulnérabilité
critique découverte plus tôt cette année dans cette plate-forme pour l'orchestration de conteneurs. Cette vulnérabilité a affecté tous les systèmes utilisant Kubernetes; elle donne aux attaquants des privilèges administratifs complets sur n'importe quel nœud informatique s'exécutant dans un cluster Kubernetes.
Un correctif a été rapidement développé pour corriger cette vulnérabilité, mais la plupart des spécialistes ont ensuite noté qu'ils s'attendaient à ce que d'autres vulnérabilités de Kubernetes soient découvertes.
Rani Osnat, vice-président du marketing chez Aqua Security, affirme que les vulnérabilités logicielles existeront toujours. Le fait qu'une certaine vulnérabilité ait été découverte est tout à fait attendu. Il croit que d'autres vulnérabilités seront trouvées, car elles sont ce que vous pouvez attendre de n'importe quel logiciel.
Lacework, une société de sécurité cloud, a
découvert plus de 21 000 systèmes et API d'orchestration de conteneurs ouverts sur Internet l'an dernier qui pourraient être ciblés par des cybercriminels. Parmi ces systèmes se trouvaient des clusters Kubernetes, Docker Swarm, Mesos Marathon, Red Hat OpenShift et autres.
De plus, les développeurs du noyau Linux ne s'ennuient pas avec
des vulnérabilités matérielles telles que Spectrum, Meltdown et Foreshadow. Greg Croa-Hartman, membre de la Linux Foundation, s'exprimant l'année dernière lors du
Sommet Open Source à Vancouver, a déclaré qu'il y aurait d'autres vulnérabilités similaires à l'avenir.
Chers lecteurs! Avez-vous déjà protégé vos systèmes contre la vulnérabilité runC?