CVE-2024-21626: Docker Confronts Critical Container Escape Threat
2024/02/01 SecurityOnline — 進化し続けるテクノロジーの世界において、特にコンテナ化の領域においては、セキュリティは依然として最重要の関心事である。先日に Snyk Labs が、コンテナ・エコシステムに影響を及ぼす4件の深刻なセキュリティ脆弱性を特定したことで、Docker は重大な課題に直面している。これらの脆弱性は、runc/BuildKit/Moby などの主要なコンポーネントに影響を及ぼし、コンテナ化されたアプリケーションの完全性と安全性に深刻なリスクをもたらすものだ。
発見された脆弱性は、その性質も影響も多岐にわたる。脆弱性 CVE-2024-21626 は、runc の深刻な欠陥であり、コンテナ・エスケープを可能にし、ホスト・ファイル・システムへの不正アクセスを引き起こす可能性を持つ。この種の脆弱性は、セキュアな分離が重要なコンテナ化の環境において、特に大きな問題となる。runc は、OCI (Open Container Initiative) 仕様に従い、Linux 上でコンテナを生成し実行するための CLI ツールである。
他の3件の脆弱性である、CVE-2024-23651/CVE-2024-23652/CVE-2024-23653は、Docker のビルドプロセスの重要な部分である、BuildKit に影響を与えるものだ。これらの脆弱性が悪用されると、ビルド・キャッシュへの不正アクセスや侵害につながる可能性があり、コンテナ・セキュリティの複雑な側面を示すものだ。
| 影響を受けるバージョン | |
| runc | <= 1.1.11 |
| BuildKit | <= 0.12.4 |
| Moby (Docker Engine) | <= 25.0.1 and <= 24.0.8 |
| Docker Desktop | <= 4.27.0 |
Docker は、「これらの脆弱性が悪用される可能性があるのは、ビルド・プロセスへの悪意のコンテンツの組み込みや、疑わしいイメージによるコンテナの実行などの、ユーザーが積極的に悪意のコンテンツに関与するケースである。想定される影響としては、ホスト・ファイル・システムへの不正アクセス/ビルドキャッシュの完全性の侵害などである。ただし、CVE-2024-21626 の場合には、完全なコンテナ・エスケープにつながるシナリオがある」と述べている。
これらの発見を受け、Docker は迅速かつ断固とした対応を取った。同社は、1月31日までに、runc/BuildKit/Moby にパッチ適用したバージョンをリリースし、2月1日には Docker Desktop のアップデートもリリースした。
Docker がユーザーに強く求めているのは、これらのアップデートを可能な限り早急に適用し、セキュリティ対策を優先することだ。これらのパッチを迅速に適用することは、潜在的な悪用からシステムを保護する上で極めて重要である。
さらに Docker は、直ちにアップデートを行えないユーザに対してガイダンスを提供し、信頼できる Docker イメージを使用し、信頼できないソースからのビルドを避けることの重要性を訴えている。
コンテナ・エスケープについて検索したところ、TD Synnex のブログで、「コンテナへの攻撃事例のひとつに コンテナエスケープ攻撃というものがある。この種の攻撃は、コンテナ技術の弱点を利用して、ホストOSにアクセスするものだ。コンテナエスケープ攻撃は、侵入者がコンテナのセキュリティ制御をバイパスして、基盤となるホストOSにアクセスする能力を提供する」と解説されていました。怖いですね。よろしければ、カテゴリ Container も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.