Опубликован эксплоит для уязвимости в RunC
Спустя неделю после публикации информации о CVE-2019-5736, PoC-код для ее эксплуатации был размещен на GitHub.
На портале GitHub опубликован PoC-код для уязвимости (CVE-2019-5736) в инструменте для запуска изолированных контейнеров RunC, затрагивающей популярные облачные платформы, включая AWS и Google Cloud, а также ряд дистрибутивов Linux. Напомним, данная уязвимость предоставляет злоумышленнику возможность из вредоносного контейнера изменить исполняемый файл RunC и получить права суперпользователя на хост-системе. Проблеме подвержены все системы контейнерной изоляции, использующие RunC, включая Docker, containerd, Podman и CRI-O. Как и было обещано, спустя неделю после публикации информации о проблеме, PoC-код для ее эксплуатации был размещен на GitHub. Это лишь один из сценариев использования проблемы: для работы эксплоита атакующему требуются права суперпользователя (uid 0) внутри контейнера.
«Атакующему потребуется выполнить команды внутри контейнера и запустить вредоносный код. Когда кто-нибудь (атакующий или жертва) выполнит docker exec для доступа к контейнеру, действие инициирует запуск эксплоита, что позволит выполнить код с правами суперпользователя», — пояснил разработчик эксплоита.
Второй сценарий эксплуатации уязвимости предусматривает использование вредоносного образа Docker, который инициирует запуск эксплоита без необходимости выполнять docker exec.
На минувшей неделе Amazon, Google, VMware, а также разработчики Red Hat, Debian и Ubuntu подтвердили наличие уязвимости в своих продуктах. Компания VMware уже выпустила соответствующие патчи для VMware Integrated OpenStack with Kubernetes (VIO-K), VMware PKS (PKS), VMware vCloud Director Container Service Extension (CSE) и vSphere Integrated Containers (VIC).
Компания Cisco в настоящее время изучает свои продукты на предмет данной уязвимости. Пока производитель смог подтвердить, что проблема не затрагивает Cisco Metacloud.