◆概要
2024 年 1 月に公開された、Docker や Kubernetes の基盤として用いられている runc に、コンテナ内部からホスト OS への侵害につながる脆弱性が報告されています。悪意のある Docker イメージなどの定義ファイルをビルドしてコンテナを作成すると、コンテナ内からホスト OS が操作可能となる可能性があります。ソフトウェアのアップデートや、日頃の運用などにより対策してください。
◆分析者コメント
コンテナ内部からホスト OS への侵害が可能となる脆弱性として報告されており、CVSS 値が高く設定されていますが、通常であれば発生し得ない設定でのコンテナ構築を要する脆弱性であるため、正規のコンテナへの侵入に成功した攻撃者が悪用できる脆弱性ではありません。脆弱性の悪用には、攻撃者が当該脆弱性を悪用する設定を施した設定ファイルからビルドされたイメージでコンテナが作成されている必要があります。よって、何かしらのソーシャルエンジニアリングが悪用の前提となる脆弱性であるため、正規の手順で作成されたイメージでコンテナを作成していれば脅威となるような脆弱性ではないと考えられます。
◆深刻度(CVSS)
[CVSS v3.1]
8.6
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-21626&vector=AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
runc のバージョン 1.1.12 よりも古いバージョンが影響を受けると報告されています。ただし、OS ベンダが配布しているパッケージを使用している場合はバージョン番号の再番が異なるため、自身が使用している OS の公式情報を参照してください。
◆解説
Docker や Kubernetes などで、コンテナを構築するための基盤として利用されている runc に、コンテナからホスト OS への侵害が可能となる脆弱性が報告されています。
脆弱性は runc でのファイルディスクリプタの管理に存在します。脆弱性が存在する runc では、ファイルディスクリプタの割り当てが単純であるため、コンテナ内部がホスト OS と相互作用するために用いるファイルディスクリプタの番号が容易に推測できてしまいます。よって、ファイルディスクリプタを作業用ディレクトリとして設定したコンテナを起動すると、コンテナ内部からホスト OS のファイルシステムが操作可能となります。
◆対策
runc のバージョン 1.1.12 またはそれよりも新しいバージョンにアップデートしてください。ただし、OS ベンダが配布しているパッケージを使用している場合はバージョン番号の再番が異なるため、自身が使用している OS の公式情報を参照してください。
◆関連情報
[1] Openwall
https://www.openwall.com/lists/oss-security/2024/02/01/1
[2] Snyk
https://snyk.io/jp/blog/cve-2024-21626-runc-process-cwd-container-breakout/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-21626
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21626
◆エクスプロイト
以下の Web サイトにて、脆弱性を悪用したコンテナからのホスト OS の侵害手順が公開されています。
Nitro's Blog
https://nitroc.org/en/posts/cve-2024-21626-illustrated/
#--- で始まる行は執筆者によるコメントです。
2024 年 1 月に公開された、Docker や Kubernetes の基盤として用いられている runc に、コンテナ内部からホスト OS への侵害につながる脆弱性が報告されています。悪意のある Docker イメージなどの定義ファイルをビルドしてコンテナを作成すると、コンテナ内からホスト OS が操作可能となる可能性があります。ソフトウェアのアップデートや、日頃の運用などにより対策してください。
◆分析者コメント
コンテナ内部からホスト OS への侵害が可能となる脆弱性として報告されており、CVSS 値が高く設定されていますが、通常であれば発生し得ない設定でのコンテナ構築を要する脆弱性であるため、正規のコンテナへの侵入に成功した攻撃者が悪用できる脆弱性ではありません。脆弱性の悪用には、攻撃者が当該脆弱性を悪用する設定を施した設定ファイルからビルドされたイメージでコンテナが作成されている必要があります。よって、何かしらのソーシャルエンジニアリングが悪用の前提となる脆弱性であるため、正規の手順で作成されたイメージでコンテナを作成していれば脅威となるような脆弱性ではないと考えられます。
◆深刻度(CVSS)
[CVSS v3.1]
8.6
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-21626&vector=AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
runc のバージョン 1.1.12 よりも古いバージョンが影響を受けると報告されています。ただし、OS ベンダが配布しているパッケージを使用している場合はバージョン番号の再番が異なるため、自身が使用している OS の公式情報を参照してください。
◆解説
Docker や Kubernetes などで、コンテナを構築するための基盤として利用されている runc に、コンテナからホスト OS への侵害が可能となる脆弱性が報告されています。
脆弱性は runc でのファイルディスクリプタの管理に存在します。脆弱性が存在する runc では、ファイルディスクリプタの割り当てが単純であるため、コンテナ内部がホスト OS と相互作用するために用いるファイルディスクリプタの番号が容易に推測できてしまいます。よって、ファイルディスクリプタを作業用ディレクトリとして設定したコンテナを起動すると、コンテナ内部からホスト OS のファイルシステムが操作可能となります。
◆対策
runc のバージョン 1.1.12 またはそれよりも新しいバージョンにアップデートしてください。ただし、OS ベンダが配布しているパッケージを使用している場合はバージョン番号の再番が異なるため、自身が使用している OS の公式情報を参照してください。
◆関連情報
[1] Openwall
https://www.openwall.com/lists/oss-security/2024/02/01/1
[2] Snyk
https://snyk.io/jp/blog/cve-2024-21626-runc-process-cwd-container-breakout/
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-21626
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21626
◆エクスプロイト
以下の Web サイトにて、脆弱性を悪用したコンテナからのホスト OS の侵害手順が公開されています。
Nitro's Blog
https://nitroc.org/en/posts/cve-2024-21626-illustrated/
#--- で始まる行は執筆者によるコメントです。
