Plusieurs vulnérabilités identifiées dans le conteneur d'applications CoreOS rkt

Un chercheur en sécurité, Yuval Avrahami, a découvert 3 vulnérabilités dans le conteneur d'applications "rkt", non adressées par RedHat et CoreOS.

rkt est un conteneur d'applications open-source issu d'un des projets de Cloud Native Computing Foundation et créé par CoreOS. rkt utilise plusieurs conteneurs fonctionnant dans un contexte partagé, à l'image de Kubernetes, et s'avérait être une excellente alternative à Docker (entre 2014 et 2018) pour les environnements de production dans le Cloud. 

Détails techniques

Les vulnérabilités identifiées sont causées par la commande "rkt enter" et interviennent pendant le "stage 2", c'est à dire l'exécution d'applications au sein de l'environnement (stage 0 correspondant à la création du binaire de l'environnement et stage 1 son exécution dans un environnement sécurisé).

Ces vulnérabilités ont été reportées à RedHat et CoreOS, mais n'ont pas été prises en compte. Elles sont décrites comme suit : 

• CVE-2019-10144 [Score CVSSv3 7.7] : les processus exécutés avec `rkt enter' sont exécutés avec les droits les plus élevés ;
• CVE-2019-10145 [Score CVSSv3 7.7] : les processus exécutés avec `rkt enter' n'ont pas de filtrage seccomp (abréviation pour secure computing mode, une fonctionnalité de sécurité sur les noyaux Linux qui permet d'isoler entièrement les processus les uns par rapport aux autres).
• CVE-2019-10147 [Score CVSSv3 7.7] : les processus exécutés avec `rkt enter' ne sont pas limités en fonction des groupes utilisateurs ("cgroups").

Si un attaquant parvient à exécuter un processus lancé par la commande "rkt enter", il peut obtenir facilement des droits à privilèges sur le système vulnérable. L'attaquant pourra alors exécuter arbitrairement son code malveillant et écraser ainsi les binaires et bibliothèques existants au sein du conteneur.