15 подписчиков
🚨 Критическая уязвимость в Docker Engine: риск полного захвата системы
Недавно была обнаружена критическая уязвимость в Docker Engine, позволяющая злоумышленникам выйти за пределы контейнера и получить доступ к файловой системе хоста. Уязвимость CVE-2024-21626 связана с утечкой файловых дескрипторов в runc.
🛠️ Как работает уязвимость
Атака заключается в том, что процесс в контейнере может изменить текущий каталог на каталог хоста и получить доступ к его файловой системе. При этом злоумышленник может достичь полномочий root-пользователя, что позволит ему выполнить произвольные команды на хосте. Данная уязвимость особенно опасна, так как может быть использована при выполнении или создании контейнера из уязвимого образа.
🛡️ Меры по устранению
1. Обновление программного обеспечения: Патчи для runc версии 1.1.12 и выше уже доступны. Docker выпустил обновления для Docker Engine, BuildKit и Moby, которые устраняют эту уязвимость. Обновления для Docker Desktop также доступны и рекомендуются для немедленного применения.
2. Использование доверенных образов: Чтобы минимизировать риск, рекомендуется использовать только доверенные Docker-образы и избегать сборки из недоверенных источников.
3. Мониторинг и анализ: Использование инструментов для мониторинга и анализа контейнеров, таких как eBPF, поможет выявлять попытки эксплуатации этой уязвимости в реальном времени. Snyk разработал инструменты для статического и динамического анализа, которые помогают обнаруживать попытки эксплуатации уязвимости в Dockerfile.
🔍 Заключение
CVE-2024-21626 представляет серьезную угрозу для контейнерных сред, особенно если контейнеры запускаются из недоверенных источников. Рекомендуется немедленно обновить уязвимые компоненты и следовать лучшим практикам безопасности для предотвращения эксплуатации этой уязвимости.
#Docker #Кибербезопасность #Уязвимости #SecureTechTalks #CVE2024
1 минута
25 июля 2024