Прим. перев.: Минувшей ночью Aleksa Sarai, старший инженер по контейнерам из SUSE Linux, сообщил в почтовой рассылке oss-sec о критической уязвимости в безопасности runc/LXC, которая позволяет злоумышленнику, имеющему доступ в изолированный контейнер, получить привилегии root на хостовой системе. Поскольку проблема выявлена в эталонной реализации исполняемой среды для контейнеров — runc, — она затрагивает многочисленные контейнерные системы включая Docker/Moby, Podman, cri-o (и собственно Kubernetes). Ниже представлены подробности в виде перевода сообщения инженера в почтовую рассылку.
Я являюсь одним из мейнтейнеров runc (нижележащей среды исполнения контейнеров, используемой в Docker, cri-o, containerd, Kubernetes и т.п.). Недавно стало известно об уязвимости, которую мы проверили и пропатчили.
Исследователи, обнаружившие уязвимость:
Кроме того, Aleksa Sarai (т.е. я) обнаружил, что более изощрённой версии этой уязвимости подвержен и LXC.
Уязвимость позволяет вредоносному контейнеру (с минимальным взаимодействием с пользователем) переписать хостовый бинарник runc и таким образом получить возможность исполнения кода с правами root на хосте. Степень взаимодействия с пользователем такова, что позволяет запускать любые команды (не важно, контролирует ли команду злоумышленник) с правами root в рамках контейнера в любом из этих контекстов:
Эта уязвимость не блокируется ни политикой AppArmor по умолчанию, ни политикой SELinux по умолчанию в Fedora* (потому что процессы контейнера выглядят как запущенные с
Вектор CVSSv3 (с рейтингом в 7.2) таков:
Проблеме назначен CVE-2019-5736.
* Проблема относится только к пакету
Прикладываю соответствующий патч, исправляющий проблему (
Обратите внимание, что патч, который я push'нул в master-ветку runc, является модифицированной версии этого патча, хоть они и идентичны функционально (если вы ещё не пропатчили свои файлы приложенным патчем, мы рекомендуем использовать upstream-версию).
Некоторые вендоры запросили код эксплоита, чтобы убедиться, что патчи решили проблему. Поскольку проблема очень серьёзна (особенно для вендоров публичных облаков), мы решили предоставить такой код. Эксплоит написан мною, является более общим, чем оригинальный код, предоставленный исследователями, и работает для LXC (не требует сильных модификаций для возможности применить для других уязвимых исполняемых сред). Подробности о том, как использовать код эксплоита, предоставлены в
В соответствии с правилами OpenWall, код эксплоита будет публично обнародован через 7 дней после CRD (т.е. 18 февраля 2019 года). Если у вас есть исполняемая среда для контейнеров, пожалуйста, предварительно убедитесь, что она не подвержена этой уязвимости.
Следует отметить, что в процессе дальнейшего расследования проблемы я обнаружил, что у LXC есть схожая уязвимость, и они уже push'нули схожий патч нашей совместной разработки. LXC немного сложнее эксплуатировать, однако сама проблема та же.
Обсуждение с представителями systemd-nspawn привело к выводу, что они уязвимости не подвержены (поскольку у них иной метод подключения к контейнеру для LXC и runc).
Со мной также связались представители Apache Mesos, сообщившие, что и они подвержены уязвимости (думаю, что они попросту использовали код эксплоита, который будет опубликован). Очень похоже, что большинство исполняемых сред для контейнеров подвержены уязвимости, если они предварительно не предпринимали весьма необычных действий по смягчению её возможного воздействия.
Мы настроили рассылку анонсов для будущих уязвимостей в безопасности: процесс присоединения к ней описан здесь (он основан на почтовой рассылке Kubernetes security-announce). Пожалуйста, присоединяйтесь, если распространяете любые исполняемые среды для контейнеров, которые зависят от runc (или других проектов OCI).
Проблема CVE-2019-5736 в трекерах популярных Linux-дистрибутивов:
… и запись в блоге Kubernetes (обратите внимание на раздел «What Should I Do?»).
Я являюсь одним из мейнтейнеров runc (нижележащей среды исполнения контейнеров, используемой в Docker, cri-o, containerd, Kubernetes и т.п.). Недавно стало известно об уязвимости, которую мы проверили и пропатчили.
Исследователи, обнаружившие уязвимость:
- Adam Iwaniuk;
- Borys Poplawski.
Кроме того, Aleksa Sarai (т.е. я) обнаружил, что более изощрённой версии этой уязвимости подвержен и LXC.
Краткий обзор
Уязвимость позволяет вредоносному контейнеру (с минимальным взаимодействием с пользователем) переписать хостовый бинарник runc и таким образом получить возможность исполнения кода с правами root на хосте. Степень взаимодействия с пользователем такова, что позволяет запускать любые команды (не важно, контролирует ли команду злоумышленник) с правами root в рамках контейнера в любом из этих контекстов:
- Создание нового контейнера из контролируемого злоумышленником образа;
- Подключение (
docker exec
) к существующему контейнеру, к которому ранее у злоумышленника был доступ на запись.
Эта уязвимость не блокируется ни политикой AppArmor по умолчанию, ни политикой SELinux по умолчанию в Fedora* (потому что процессы контейнера выглядят как запущенные с
container_runtime_t
). Однако она блокируется корректным использованием пользовательских пространств имён (где root хоста не map'ится в пользовательское пространство имён контейнера).Вектор CVSSv3 (с рейтингом в 7.2) таков:
AV:L/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:H
Проблеме назначен CVE-2019-5736.
* Проблема относится только к пакету
moby-engine
в Fedora. Пакет docker
, как и podman
, защищён от её эксплуатации, поскольку запускает процессы контейнера как container_t
.Патчи
Прикладываю соответствующий патч, исправляющий проблему (
0001-nsenter-clone-proc-self-exe-to-avoid-exposing-host-b.patch
). Он основан на ветке HEAD
, хотя код в libcontainer/nsenter/
меняется настолько редко, что патч скорее всего применим практически к любой старой версии кодовой базы runc, с какой вы имеете дело.Обратите внимание, что патч, который я push'нул в master-ветку runc, является модифицированной версии этого патча, хоть они и идентичны функционально (если вы ещё не пропатчили свои файлы приложенным патчем, мы рекомендуем использовать upstream-версию).
Второстепенность кода эксплоита
Некоторые вендоры запросили код эксплоита, чтобы убедиться, что патчи решили проблему. Поскольку проблема очень серьёзна (особенно для вендоров публичных облаков), мы решили предоставить такой код. Эксплоит написан мною, является более общим, чем оригинальный код, предоставленный исследователями, и работает для LXC (не требует сильных модификаций для возможности применить для других уязвимых исполняемых сред). Подробности о том, как использовать код эксплоита, предоставлены в
README
.В соответствии с правилами OpenWall, код эксплоита будет публично обнародован через 7 дней после CRD (т.е. 18 февраля 2019 года). Если у вас есть исполняемая среда для контейнеров, пожалуйста, предварительно убедитесь, что она не подвержена этой уязвимости.
Влияние на другие проекты
Следует отметить, что в процессе дальнейшего расследования проблемы я обнаружил, что у LXC есть схожая уязвимость, и они уже push'нули схожий патч нашей совместной разработки. LXC немного сложнее эксплуатировать, однако сама проблема та же.
Обсуждение с представителями systemd-nspawn привело к выводу, что они уязвимости не подвержены (поскольку у них иной метод подключения к контейнеру для LXC и runc).
Со мной также связались представители Apache Mesos, сообщившие, что и они подвержены уязвимости (думаю, что они попросту использовали код эксплоита, который будет опубликован). Очень похоже, что большинство исполняемых сред для контейнеров подвержены уязвимости, если они предварительно не предпринимали весьма необычных действий по смягчению её возможного воздействия.
Другие новости
Мы настроили рассылку анонсов для будущих уязвимостей в безопасности: процесс присоединения к ней описан здесь (он основан на почтовой рассылке Kubernetes security-announce). Пожалуйста, присоединяйтесь, если распространяете любые исполняемые среды для контейнеров, которые зависят от runc (или других проектов OCI).
P.S. От переводчика
Проблема CVE-2019-5736 в трекерах популярных Linux-дистрибутивов:
… и запись в блоге Kubernetes (обратите внимание на раздел «What Should I Do?»).
Комментарии (8)
MMik
12.02.2019 18:41Выдохнул. Очередной повод порадоваться включенному SELinux, и поблагодарить разработчиков.
Пакет
docker
, как иpodman
, защищён от её эксплуатации, поскольку запускает процессы контейнера какcontainer_t
.OpenShift Online and Dedicated are not vulnerable to exploit due to the use of SELinux in enforcing mode.
Customers using SELinux in enforcing mode can observe exploitation attempts by looking at AVC events in the audit logs. E.g.
$ aureport -a
AVC Report
===============================================================
# date time comm subj syscall class permission obj result event
===============================================================
1. 11/02/19 00:00:00 script system_u:system_r:container_t:s0:c530,c886 2 file write system_u:object_r:container_runtime_exec_t:s0 denied 81359
…
ElegantBoomerang
Запись в
/proc/self/exec
? На это хватило прав? Какие права проброшены внутрь контейнера? Столько интересных вопросов, аж жаль, что перевод.mk2
Через 6 дней можно будет взглянуть на эксплоит и понять точно. Или перевести статью, где это сделал кто-то еще)
cyrillpetroff
Эксплоит скорее всего уже написан, только в привате и за $
mk2
Закрытый — возможно. Но и сам автор говорит, что они написали демонстрационный, и откроют его 18 февраля. А на него уже посмотреть всем можно будет.
shurup Автор
Из NVD (ссылка есть в статье):
В этом патче (к LXC; тоже есть ссылка в статье) — больше подробностей:
ElegantBoomerang
Спасибо! То есть:
ElegantBoomerang
Для желающих, я почитал доки: да, получится, ещё как! :D Одновременно красивый хак, но и безолаберный: запуск привилегированного контейнера это практически root, вот ещё один пример в коллекцию.