Business Security

Sicherheits-Schwachstelle in Docker

Malware-Forschungsteam Unit 42 zeigt die Details der Schwachstelle im Copy-Befehl von Docker auf und sieht erhebliches Risiko eines vollständigen Container-Exploits

Schwachstellen im Copy-Befehl verschiedener Containerplattformen, darunter Docker, Podman und Kubernetes, wurden bereits mehrfach aufgedeckt. Die kritischste dieser Schwachstellen betraf Docker und wurde im Juli 2019 veröffentlicht. Unit 42, das Malware-Forscherteam von Palo Alto Networks, hat diese Schwachstelle im Rahmen eines Proof of Concept (PoC) genauer unter die Lupe genommen und die Ergebnisse zum Anlass genommen, vor der überaus realen Gefahr eines vollständigen Container-Exploits zu warnen.

Sicherheitsproblem bei Implementierung

Die als CVE-2019-14271 gelistete Schwachstelle markiert ein Sicherheitsproblem bei der Implementierung des cp-Befehls in Docker, das bei Ausnutzung durch einen Angreifer zu einem vollständigen Container-Exploit führen kann. Die Bedrohung besteht, vorausgesetzt, dass ein Container durch einen früheren Angriff kompromittiert wurde (z.B. durch eine andere Schwachstelle, durchgesickerte Zugangsdaten etc.). Eine Ausnutzung wäre auch möglich, wenn ein Benutzer ein bösartiges Container-Image aus einer nicht vertrauenswürdigen Quelle (z.B. Registry) ausführt. Wenn der Benutzer dann den verwundbaren cp-Befehl nutzt, um Dateien aus dem kompromittierten Container zu kopieren, kann der Angreifer die volle Root-Kontrolle über den Host und alle anderen Container darin übernehmen.

Neuste Version sollte installiert werden

Generell gilt, eine Schwachstelle, die die Ausführung von Root-Code auf dem Host ermöglicht, ist sehr gefährlich. Palo Alto Networks rät daher eindringlich dazu, sicherzustellen, dass Docker Version 19.03.1 oder neuere Versionen, die die Behebung dieses Sicherheitsproblems enthalten, im Einsatz sind. Um die Angriffsfläche für diese Art von Angriffen zu begrenzen, ist es ebenso unbedingt ratsam, nicht vertrauenswürdige Images niemals auszuführen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben