Docker, Kubernetes und co.: Hacker können aus Containern auf Hostsysteme zugreifen

Ein Sicherheitsforscher von Snyk Security Labs hat eine Reihe von Schwachstellen identifiziert, die es Angreifern ermöglichen, aus einer Containerumgebung auszubrechen und auf das zugrunde liegende Hostsystem zuzugreifen. Möglich sei von dort aus etwa der Zugriff auf sensible Daten wie Anmelde- oder Kundeninformationen sowie die Ausführung weiterer Angriffe, heißt es in einem Blogbeitrag von Snyk.

Entdeckt wurden die unter der Bezeichnung Leaky Vessels zusammengefassten Sicherheitslücken wohl schon im November 2023. Eine der Schwachstellen (CVE-2024-21626) bezieht sich auf das CLI-Tool runc (bis Version 1.1.11), mit dem sich unter Linux Container erstellen und ausführen lassen. Der Schweregrad ist mit einem CVSS von 8,6 als hoch eingestuft.

Die übrigen drei Sicherheitslücken (CVE-2024-23651, CVE-2024-23652 und CVE-2024-23653) werden hingegen dem Toolkit Buildkit (bis Version 0.12.4) zugeschrieben, das beispielsweise von der weitverbreiteten Containervirtualisierungslösung Docker verwendet wird. Diese Schwachstellen erreichen CVSS-Werte von 8,7 bis hin zur Obergrenze von 10 und damit einen hohen bis kritischen Schweregrad.

Patches sollten dringend installiert werden

Patches sind inzwischen verfügbar, geschlossen wurden die Sicherheitslücken am 31. Januar 2024 mit der runc-Version 1.1.12 sowie Version 0.12.5 von Buildkit. Entsprechende Hinweise sind auch bei Docker, AWS, Ubuntu und Google Cloud zu finden. Snyk empfiehlt Nutzern dringend, nach Updates für ihre Containerlösungen Ausschau zu halten und diese einzuspielen, sobald verfügbar.

"Sie müssen wahrscheinlich Ihre Docker-Daemons und Kubernetes-Deployments sowie alle Container-Build-Tools aktualisieren, die Sie in CI/CD-Pipelines, auf Build-Servern und auf den Workstations Ihrer Entwickler verwenden", so das Unternehmen. Wichtig sei es außerdem, vorhandene Container auf eine mögliche Kompromittierung hin zu überprüfen.

Tools zur Erkennung eines Missbrauchs

Snyk hat via Github zwei Tools bereitgestellt, die Administratoren bei der Erkennung unterstützen sollen – betont jedoch, dass diese die Schwachstellen weder beheben noch deren Ausnutzung verhindern. Eines davon heißt Leaky Vessels Dynamic Detector und soll Ausnutzungsversuche zur Laufzeit durch die Suche nach für die Schwachstellen charakteristischen Mustern erkennen können.

Das zweite Tool trägt den Namen Leaky Vessels Static Detector. "Es scannt Dockerdateien und Image-Ebenen, um Befehle zu erkennen, die anscheinend versuchen, die Schwachstellen auszunutzen", heißt es bei Snyk. Wichtig sei es jedoch, die gefundenen Treffer im Anschluss manuell zu überprüfen. Beide Tools lieferten wahrscheinlich einige falsch negative und falsch positive Ergebnisse.