A comunidade Linux está agora no
processo de resolver uma vulnerabilidade recentemente descoberta em relação ao
iniciador de contêiner
runC usado pelo Docker, CRI-O, container e Kubernetes.
A vulnerabilidade que recebeu o número de identificação
CVE-2019-5736 permite que um contêiner infectado substitua o executável runC no host e obtenha acesso root a ele. Isso permite que esse contêiner obtenha controle sobre o host e oferece ao invasor a capacidade de executar qualquer comando.
Alexa Sarai, engenheira de suporte runC do SUSE, postou uma
publicação no Openwall afirmando que é muito provável que esta vulnerabilidade afete a maioria das ferramentas de manipulação de contêineres. Além disso, ele observa que a vulnerabilidade pode ser bloqueada devido à implementação correta dos espaços de nome de usuário, onde o mapeamento do usuário raiz do host para o espaço de nome de usuário do contêiner não é realizado.
Algumas empresas consideraram essa vulnerabilidade importante, atribuindo uma
classificação adequada. Sarai diz que, de acordo com a especificação CVSSv3, ela recebe uma classificação 7.2 de 10.
Um patch já foi desenvolvido para corrigir essa vulnerabilidade, acessível a todos que usam o runC. Muitos desenvolvedores de software e provedores de serviços em nuvem tomaram medidas para instalar esse patch.
Note-se que a ferramenta runC surgiu através dos esforços do Docker. É uma interface de linha de comando compatível com OCI para iniciar contêineres.
Sobre vulnerabilidades modernas de software e hardware
Embora a vulnerabilidade em questão não se aplique exclusivamente ao ecossistema Kubernetes, pode-se dizer que continua a tradição da vulnerabilidade
crítica descoberta no início deste ano nesta plataforma para orquestração de contêineres. Essa vulnerabilidade afetou todos os sistemas que usam o Kubernetes e concede aos invasores privilégios administrativos completos em qualquer nó de computação em execução em um cluster do Kubernetes.
Um patch foi rapidamente desenvolvido para corrigir essa vulnerabilidade, mas a maioria dos especialistas observou que eles esperam que outras vulnerabilidades do Kubernetes sejam descobertas.
Rani Osnat, vice-presidente de marketing da Aqua Security, diz que sempre haverá vulnerabilidades de software. O fato de uma certa vulnerabilidade ter sido descoberta é bastante esperado. Ele acredita que outras vulnerabilidades serão encontradas, pois são o que você pode esperar de qualquer software.
A Lacework, uma empresa de segurança em nuvem,
descobriu mais de 21.000 sistemas de orquestração de contêineres abertos e APIs na Internet no ano passado que poderiam ser alvos de criminosos cibernéticos. Entre esses sistemas estavam os clusters Kubernetes, Docker Swarm, Maratona de Mesos, Red Hat OpenShift e outros.
Além disso, os desenvolvedores de kernel do Linux não estão entediados com
vulnerabilidades de hardware como Spectrum, Meltdown e Foreshadow. Greg Croa-Hartman, membro da Linux Foundation, falando no ano passado na
Open Source Summit em Vancouver, disse que haverá outras vulnerabilidades semelhantes no futuro.
Caros leitores! Você já protegeu seus sistemas da vulnerabilidade runC?