16/12/2024

Actu Cybersécurité

Les failles Leaky Vessels dans runc permettent de s’évader des conteneurs Docker

Un ensemble de vulnérabilités surnommé Leaky Vessels a été découvert dans l'outil CLI runc, utilisé notamment dans Docker et Kubernetes. En exploitant ces vulnérabilités, un attaquant peut s'échapper du container et accéder aux données de l'hôte physique. Faisons le point.

En novembre 2023, Rory McNamara, chercheur en sécurité chez Snyk, a fait la découverte de 4 failles de sécurité importantes présentes dans runc mais aussi dans Buildkit. Peut-être que ces noms ne vous disent rien, mais pourtant sachez qu'ils sont utilisés par des solutions populaires comme Docker et Kubernetes.

Par principe, un conteneur représente une application packagée qui contient les exécutables, toutes les dépendances nécessaires à son exécution, et tout le code nécessaire pour que l'application soit opérationnelle. Ceci crée un environnement isolé, vis-à-vis de l'hôte qui exécute le conteneur. Toutefois, si un pirate parvient à exploiter les failles de sécurité Leaky Vessels, il peut s'échapper du conteneur afin d'interagir avec l'hôte..

Voici les 4 failles de sécurité Leaky Vessels :

  • CVE-2024-21626
  • CVE-2024-23651
  • CVE-2024-23652
  • CVE-2024-23653

La vulnérabilité la plus critique, c'est bien la CVE-2024-21626 puisqu'elle permet, potentiellement, de compromettre l'hôte où sont exécutés les conteneurs. "L'exploitation de ce problème peut entraîner l'évasion du conteneur vers le système d'exploitation hôte sous-jacent, soit par l'exécution d'une image malveillante, soit par la construction d'une image à l'aide d'un fichier Docker malveillant ou d'une image en amont (c'est-à-dire lors de l'utilisation de FROM).", précise Snyk dans son rapport.

Quelles sont les versions affectées ? Comment se protéger ?

Même si pour le moment rien n'indique que ces failles de sécurité sont exploitées dans le cadre de cyberattaques, il est préférable d'installer les correctifs dès que possible. En effet, elles sont désormais divulguées publiquement et corrigées... Donc la situation pourrait évoluer.

Toutes les versions de runc sont affectées, et les développeurs ont mis en ligne runc 1.1.12 le 31 janvier 2024 afin de corriger ces vulnérabilités. En ce qui concerne Buildkit, les failles ont été corrigées avec la version 0.12.5.

A la même date, Docker a mis en ligne de nouvelles versions pour permettre de patcher ces vulnérabilités. Vous devez passer sur Docker 24.0.9 ou Docker 25.0.2. Pour Kubernetes, vous pouvez trouver des informations sur cette page. En complément, il y a d'autres bulletins de sécurité disponibles notamment du côté de chez AWS et Ubuntu.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.