CVE-2024-1753: Podman/Buildah Vulnerability Allow Container Escapes
2024/03/18 SecurityOnline — 人気のコンテナ化ツールである Podman と Buildah に、深刻な脆弱性 CVE-2024-1753 が発見された。この脆弱性は CVSS スコア 8.6 (深刻度:Important) と評価されており、悪用に成功した攻撃者は、ビルド・プロセス中にコンテナの制限をエスケープし、基盤となるホスト・システムに大混乱をもたらす可能性がある。
ビルドの脆弱性:悪用の仕組み
この脆弱性は、Podman と Buildah における、コンテナ作成段階のファイル・マウントの処理方法に起因する。悪意の Containerfile を作成して、システムを騙すことに成功した攻撃者は、コンテナ構築環境内で、ホスト・システムのルート・ファイル・システムを、ダイレクトにマウントさせることが可能になる。
RedHat のセキュリティ・アドバイザリには、「Podman ビルドと Buildah に不具合が発見され、ホスト・ファイルシステム上の任意の場所を、ビルド・コンテナにマウントできることが判明した。悪意の Containerfile は、ルート・ファイル・システムへのシンボリック・リンクを持つダミー画像をマウントソースとして使用して、RUN ステップ内でホストのルート・ファイル・システムのマウント操作を引き起こせる。それにより、RUN ステップ内のコマンドは、ホスト・ファイル・システムへの Read/Write アクセスを持つことになり、ビルド時にコンテナを完全にエスケープできるようになる」と詳述されている。
この脆弱性の悪用に成功した攻撃者は、ホスト・システム全体への Read/Write アクセスが可能となり、次のような攻撃を引き起こす恐れがある:
- データの盗難/流出
- さらなるマルウェアのインストール
- システム全体での混乱/損害
影響を受けるバージョン
脆弱性 CVE-2024-1753 が影響を及ぼす Podman/Buildah は、以下の通りである:
- Buildah 1.35.0 以下
- Podman 4.9.3 以下
この重大なリスクを排除するため、ツールのユーザーに推奨されるのは、可能な限り早急にパッチが適用されたバージョンへとアップデートすることだ。
緩和策とベスト・プラクティス
アップデートが最も確実な緩和策ではあるが、以下の対策もリスク軽減に役立つ:
- SELinux コントロールの実施:SELinux を有効化し、”enforcing” モードに設定すれば、攻撃による潜在的な被害を抑止できる。
- 権限設定の最小化:コンテナへのアクセスを、その機能に必要なリソースのみに制限する。
この Podman ですが、Red Hat などが構成するコミュニティで開発されている、Docker 互換のオープンソース・コンテナ・エンジンとのことです。そして、RHEL/CentOS/Fedora などの Linuxディストリビューションに標準で付属しているとされます。コンテナ・エスケープが発生するようなので、ご利用のチームは、ご注意ください。よろしければ、カテゴリ Container も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.