CVE-2024-22036 (CVSS 9.1): Critical RCE Vulnerability Discovered in SUSE Rancher
2024/10/28 SecurityOnline — SUSE Rancher に存在する、新たな RCE 脆弱性 CVE-2024-22036 (CVSS:9.1) が、SUSE Rancher Security チームにより公表された、この脆弱性を悪用する攻撃者は、クラスタおよびノード・ドライバを悪用して chroot jail を回避し、Rancher コンテナ内で root アクセスを獲得することで、深刻なリスクをもたらすという。
オープンソースのコンテナ管理プラットフォームである Rancher は、Kubernetes の展開を合理化するために、企業環境で広く使用されている。通常では “jail” 環境で制限付きの権限で実行される、Rancher のノード・ドライバ管理の内部メカニズムに、この脆弱性は大ラクトな影響を及ぼす。
SUSE のアドバイザリに、「ドライバーは過剰な権限で実行される」と記載されているように、これらのドライバーを操作する攻撃者は、特権昇格を可能にする。
この脆弱性の以下の要素が、攻撃者に悪用される可能性を持つ:
- パス操作:起動時に、Rancher は
/opt/drivers/management-state/binを PATH 環境変数に追加し、悪意のドライバに対する攻撃対象領域を拡大する。 - 不適切なオーナーシップ:
/usr/bin/rancher-machine、/usr/bin/helm_v3、/usr/bin/kustomizeなどの重要なバイナリは、root ではなく UID 1001 および GID 127 に割り当てられるため、これらのファイルを、攻撃者が悪用する可能性が生じる。 - シンボリック・リンク:ファイルタイプの検証が欠如しているため、シンボリック・リンクが許可されており、これらのリンクをシステムに登録することで、攻撃者は悪意のドライバ注入を達成できる。
SUSE のセキュリティ・アドバイザリでは、「Rancher コンテナ自体のローカル環境を悪用することで、さらなる特権昇格が引き起こされる可能性がある」と警告されている。つまり、特権付きの Docker コンテナを使用する開発/テスト環境では、さらに大きなリスクが生じることになる。
実稼働環境における攻撃者は、Rancher コンテナにルート・アクセスし、コンテナ内のツールやコンフィグを悪用することで、特権を昇格させる可能性を手にする。特権付き Docker 設定で実行中のテスト/開発の環境では、攻撃者は完全なコンテナ・エスケープを達成し、ホスト・システムへのアクセスを可能にする。それは、インフラ全体を危険にさらす、深刻な特権昇格である。
すでに SUSE Rancher は、バージョン 2.7.16/2.8.9/2.9.3 でパッチをリリースし、権限レベルの強化とドライバー機能の制限を施すことで、この脆弱性に対応している。
ユーザーに対して強く推奨されるのは、”信頼できるドライバーのみを使用する” ことで、悪意のドライバーによるセキュリティ制御のバイパスを防止することだ。
このアドバイザでは、迅速なアップグレードが不可能なユーザーのために、以下の2つの回避策を推奨している。
- 管理者特権を制限する:管理者および制限付き管理者について、信頼されたユーザーだけにアクセスを限定し、不正アクセスの潜在的な経路を減らす。
- 信頼されたソースからのドライバ実行に限定する:検証済みの信頼されたソースからのドライバーに限定することで、悪用リスクを最小限に抑える。
SUSE Rancher に、新たな RCE 脆弱性 CVE-2024-22036 が発生です。昨日である 2024/10/27 にも「SUSE Rancher の脆弱性 CVE-2022-45157 が FIX:vSphere クレデンシャルを平文で保存」という記事をポストしています。よろしければ、Rancher で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.