Suchen

Unit 42 warnt vor Root-Betrieb von Containern Anfällige Copy-Funktion von Docker

| Redakteur: Stephan Augsten

Um Container-Nutzern zu zeigen, wie sie einer im Juli durch Docker offengelegte Schwachstelle begegnen können, hat Palo Alto Networks die Erkenntnisse eines Proof of Concepts veröffentlicht. Die Ergebnisse stammen von Unit 42, dem Threat Intelligence Team des Sicherheitsanbieters.

Firmen zum Thema

EIne Schwachstelle in früheren Docker-versionen erlaubt es, die Root-Kontrolle über den Host und alle anderen Container darin übernehmen.
EIne Schwachstelle in früheren Docker-versionen erlaubt es, die Root-Kontrolle über den Host und alle anderen Container darin übernehmen.
(Bild: Palo Alto Networks)

Die Sicherheitslücke, auf die sich der Proof of Concept von Unit 42 bezieht, lauert in der Copy-Funktion von Docker. Führt der Anwender den „docker cp“-Befehl aus, kann ein Angreifer die volle Root-Kontrolle über den Host und alle anderen Container darin übernehmen. Voraussetzung ist allerdings, dass der Container bei einem früheren Angriff kompromittiert wurde.

Als Beispiele hierfür nennt Palo Alto Networks eine alternative Schwachstelle, durchgesickerte Zugangsdaten oder ein kompromittiertes Container-Image von einer nicht vertrauenswürdigen Quelle. Um die Angriffsfläche für diese Art von Angriffen zu begrenzen, sei es dementsprechend zunächst einmal ratsam, nicht vertrauenswürdige Images unter keinen Umständen auszuführen.

Außerdem empfiehlt Palo Alto Networks dringend, Container als eingeschränkter Nutzer zu betreiben, sofern Root nicht unbedingt benötigt wird. So ließen sich viele der Fehler, die Container-Engines oder den Kernel betreffen, gar nicht erst ausnutzen. Für die maßgebliche Schwachstelle bedeutet das, dass ein Angreifer selbst in einem kompromittierten Container die libnss-Bibliotheken des Containers nicht überschreiben kann.

Die unter der Kennnummer CVE-2019-14271 gelistete und als kritisch bewertete Schwachstelle wurde mit der Docker-Version 19.03.1 behoben. Verwenden Unternehmen diese oder eine jüngere Docker-Version, sind sie dank eines integrierten Schwachstellen-Patches laut Unit 42 abgesichert.

(ID:46274411)