Recentemente, o NSFOCUS Labs, laboratório de inteligência de segurança da NSFOCUS, divulgou a detecção de uma vulnerabilidade alarmante no runc, uma ferramenta fundamental para a execução de contêineres no Linux, conforme a especificação OCI.
Detalhes da Vulnerabilidade
O runc, amplamente utilizado em plataformas como Docker, containerd, Podman e CRI-O, enfrenta uma falha de segurança grave (CVE-2024-21626) que pode permitir o escape de contêineres. A vulnerabilidade reside na falha do runc em verificar o diretório de trabalho final dentro do namespace de montagem do contêiner.
Métodos de Exploração
Os especialistas identificaram três formas pelas quais invasores podem explorar essa vulnerabilidade:
Vazamento de descritores de arquivo durante a inicialização: Um usuário privilegiado pode executar um contêiner com um processo que possui um diretório de trabalho no namespace do host, concedendo acesso completo ao sistema de arquivos do host.
Substituição do caminho do diretório de trabalho usando links simbólicos: Um processo malicioso pode substituir o caminho do diretório de trabalho por /proc/self/fd/7/, permitindo acesso indevido ao sistema de arquivos do host.
Escopo do Impacto
Versões afetadas:
1.0.0-rc93 <= runc <= 1.1.11
Versões não afetadas:
runc >= 1.1.12
Mitigação
A vulnerabilidade foi corrigida oficialmente na versão mais recente do runc. Recomenda-se fortemente que os usuários afetados atualizem para a versão mais recente. O download da atualização pode ser feito através do seguinte link oficial: https://github.com/opencontainers/runc/releases.
