En un desarrollo preocupante en el campo de la ciberseguridad, el equipo de investigadores de seguridad de Snyk ha descubierto un conjunto de cuatro vulnerabilidades críticas apodadas colectivamente «Leaky Vessels». Estas fallas, encontradas en noviembre de 2023, presentan riesgos significativos al permitir a los atacantes escapar de los entornos de contenedores y acceder indebidamente al sistema operativo subyacente del host.
Los entornos de contenedores, fundamentales para la ejecución de aplicaciones modernas en ambientes virtualizados y aislados, enfrentan una nueva amenaza que podría comprometer la seguridad de la información y la integridad del sistema en una amplia gama de software popular de gestión de contenedores, como Docker y Kubernetes.
Las vulnerabilidades identificadas son:
- CVE-2024-21626: Descubierto en ‘runc’, este fallo surge de un error en el orden de operaciones con el comando WORKDIR, permitiendo un escape del contenedor.
- CVE-2024-23651: Encontrado dentro de Buildkit, se debe a una condición de carrera que impacta el manejo del caché de montaje, lo que puede llevar a un comportamiento impredecible.
- CVE-2024-23652: Esta vulnerabilidad, también en Buildkit, permite la eliminación arbitraria de archivos durante el proceso de desmontaje del contenedor.
- CVE-2024-23653: Originándose en la interfaz GRPC de Buildkit, este fallo se debe a controles de privilegios inadecuados que podrían facilitar la escalada de privilegios o acceso a datos sensibles.
Aunque hasta la fecha no se han detectado explotaciones activas de estas vulnerabilidades en la naturaleza, la divulgación pública de estos problemas aumenta el riesgo de ataques. Por ello, Snyk ha tomado medidas proactivas para informar a las partes afectadas y garantizar que se disponga de actualizaciones de seguridad en el menor tiempo posible.
Acciones para solucionar problemas
- Buildkit ha lanzado la versión 0.12.5 el 31 de enero de 2024, abordando y solucionando las vulnerabilidades identificadas.
- runc también ha respondido con la versión 1.1.12, que incluye las correcciones necesarias a las fallas descubiertas.
- Docker ha integrado estas versiones mejoradas en su motor Moby, lanzando la versión 4.27.0 para proteger a los usuarios contra posibles explotaciones.
Para asegurar los sistemas contra estos riesgos emergentes, se insta a los administradores de sistemas y a los usuarios a actualizar sus sistemas con las versiones recién lanzadas de software afectado. Amazon Web Services, Google Cloud y Ubuntu han emitido boletines de seguridad guiando a sus usuarios en el proceso de mitigación.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también ha emitido un aviso, enfatizando la importancia de tomar medidas de precaución y actualizar los sistemas para defenderse contra posibles amenazas derivadas de las vulnerabilidades «Leaky Vessels».
Los avances en la tecnología de contenedores han proporcionado una flexibilidad y eficiencia sin precedentes en el desarrollo y despliegue de aplicaciones. Sin embargo, estos hallazgos subrayan la necesidad constante de vigilancia y actualización para proteger los ambientes virtuales contra amenazas emergentes. Snyk y la comunidad de ciberseguridad continúan trabajando diligentemente para identificar y mitigar tales vulnerabilidades, asegurando así un entorno digital más seguro para todos.
vía: OpenSecurity