Beheer

Security
container

Groot gat laat malware ontsnappen uit containers

Het populaire RunC is kwetsbaar voor het veiligheidslek, dat zo veel containersystemen raakt.

© CC0 - Pixabay Hessel Visser
12 februari 2019

Het populaire RunC is kwetsbaar voor het veiligheidslek, dat zo veel containersystemen raakt.

Wie gebruikmaakt van containers, moet oppassen en uitkijken naar een patch. Door een beveiligingslek kunnen kwaadwillenden een container besmetten met een malafide programma, dat bovendien in staat is om ‘te ontsnappen’ en het host systeem kan aanvallen.

Het lek is aanwezig in RunC, de containerinfrastructuur van onder andere Docker en Kubernetes. RunC is een open-source en Open Container Initiative (OCI)-standaard die populair is onder IT’ers die containers gebruiken. De twee beveiligingsonderzoekers die het lek ontdekten, noemen het CVE-2019-5736 en beschrijven het gevaar in een blogpost.

Containeruitbraak

Een hacker moet een malafide container in je digitale systeem krijgen. Dat is volgens Zdnet niet zo lastig omdat een deel van de systeembeheerders niet de juiste (software voor) containers gebruikt. Is de malafide container actief dan kan hij (met minimale bemoeienis van de gebruiker) de host RunC binary overschrijven en zo root-level code execution op het host systeem verkrijgen.

Een zeer gevaarlijk veiligheidslek, aldus Scott McCarty, technisch product manager containers bij Red Hat. Hij spreekt van een ‘slechte situatie voor veel IT-beheerders en – managers.’ Volgens McCarty kan het lek uit een container breken en de hele host infecteren en aanvallen. Dit kan – afhankelijk van de organisatie – tientallen tot duizenden containers raken.

AWS rolt patches uit

Veel containersystemen zijn kwetsbaar, bijvoorbeeld als ze LXC of Apache Mesos container-code gebruiken. Amazon Web Services (AWS) heeft al patches uitgerold voor Amazon ECS, Amazon EKS en AWS Fargate (1.3). In een blogpost schrijft het bedrijf dat een patch voor oudere Fargate-versies op 15 maart uitkomt.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.