Container - Copy-Befehl von Docker

Unit 42 warnt vor Sicherheits-Schwachstelle in Docker

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Unit 42 warnt vor Sicherheits-Schwachstelle in Docker

Unit 42 zeigt die Details der Schwachstelle im Copy-Befehl von Docker auf

In den letzten Jahren kamen mehrere Schwachstellen im Copy-Befehl verschiedener Containerplattformen, darunter Docker, Podman und Kubernetes, ans Tageslicht. Die kritischste dieser Schwachstellen betraf Docker und wurde im Juli dieses Jahres veröffentlicht. Unit 42, das Malware-Forscherteam von Palo Alto Networks, hat diese Schwachstelle im Rahmen eines Proof of Concept (PoC) genauer unter die Lupe genommen und die Ergebnisse zum Anlass genommen, vor der überaus realen Gefahr eines vollständigen Container-Exploits zu warnen.

Die als CVE-2019-14271 gelistete Schwachstelle markiert ein Sicherheitsproblem bei der Implementierung des cp-Befehls in Docker, das bei Ausnutzung durch einen Angreifer zu einem vollständigen Container-Exploit führen kann. Die Bedrohung besteht, vorausgesetzt, dass ein Container durch einen früheren Angriff kompromittiert wurde (z.B. durch eine andere Schwachstelle, durchgesickerte Zugangsdaten etc.). Eine Ausnutzung wäre auch möglich, wenn ein Benutzer ein bösartiges Container-Image aus einer nicht vertrauenswürdigen Quelle (z.B. Registry) ausführt. Wenn der Benutzer dann den verwundbaren cp-Befehl nutzt, um Dateien aus dem kompromittierten Container zu kopieren, kann der Angreifer die volle Root-Kontrolle über den Host und alle anderen Container darin übernehmen.

CVE-2019-14271 wurde in der Docker-Version 19.03.1 als kritisch markiert und behoben. Die jüngsten Forschungsaktivitäten von Unit 42 lieferten einen detaillierteren Einblick in diese Schwachstelle, um daraus zusätzliche Sicherheitsmaßnahmen abzuleiten.

Generell gilt, eine Schwachstelle, die die Ausführung von Root-Code auf dem Host ermöglicht, ist sehr gefährlich. Palo Alto Networks rät daher eindringlich dazu, sicherzustellen, dass Docker Version 19.03.1 oder neuere Versionen, die die Behebung dieses Sicherheitsproblems enthalten, im Einsatz sind. Um die Angriffsfläche für diese Art von Angriffen zu begrenzen, ist es ebenso unbedingt ratsam, nicht vertrauenswürdige Images niemals auszuführen.

Außerdem empfiehlt Palo Alto Networks dringend, wenn Root nicht unbedingt benötigt wird, Container als Nicht-Root-Benutzer zu betreiben. Dies erhöht die Sicherheit zusätzlich und verhindert, dass Angreifer viele der Fehler, die in Container-Engines oder im Kernel zu finden sind, ausnutzen können. Im Falle von CVE-2019-14271 sind Unternehmen also geschützt, wenn ihr Container von einem Nicht-Root-Benutzer betrieben wird. Selbst wenn ein Angreifer den Container kompromittiert hat, kann er dann die libnss-Bibliotheken des Containers nicht überschreiben, da sie sich im Besitz von Root befinden. Daher kann der Angreifer die Schwachstelle nicht ausnutzen.