Plusieurs vulnérabilités identifiées dans le conteneur d'applications CoreOS rkt

Un chercheur en sécurité, Yuval Avrahami, a découvert 3 vulnérabilités dans le conteneur d'applications "rkt", non adressées par RedHat et CoreOS.

rkt est un conteneur d'applications open-source issu d'un des projets de Cloud Native Computing Foundation et créé par CoreOS. rkt utilise plusieurs conteneurs fonctionnant dans un contexte partagé, à l'image de Kubernetes, et s'avérait être une excellente alternative à Docker (entre 2014 et 2018) pour les environnements de production dans le Cloud. 

Détails techniques

Les vulnérabilités identifiées sont causées par la commande "rkt enter" et interviennent pendant le "stage 2", c'est à dire l'exécution d'applications au sein de l'environnement (stage 0 correspondant à la création du binaire de l'environnement et stage 1 son exécution dans un environnement sécurisé).

Ces vulnérabilités ont été reportées à RedHat et CoreOS, mais n'ont pas été prises en compte. Elles sont décrites comme suit : 

  • CVE-2019-10144 : les processus exécutés avec `rkt enter' sont exécutés avec les droits les plus élevés ;
  • CVE-2019-10145 : les processus exécutés avec `rkt enter' n'ont pas de filtrage seccomp (abréviation pour secure computing mode, une fonctionnalité de sécurité sur les noyaux Linux qui permet d'isoler entièrement les processus les uns par rapport aux autres).
  • CVE-2019-10147 : les processus exécutés avec `rkt enter' ne sont pas limités en fonction des groupes utilisateurs ("cgroups").

Si un attaquant parvient à exécuter un processus lancé par la commande "rkt enter", il peut obtenir facilement des droits à privilèges sur le système vulnérable. L'attaquant pourra alors exécuter arbitrairement son code malveillant et écraser ainsi les binaires et bibliothèques existants au sein du conteneur.

    Informations
    +

    Risques

    • Elévation de privilèges.

    Criticité

    • Score CVSS : en cours d'évaluation.

    Existence d’un code d’exploitation de la vulnérabilité

    • Un code d'exploitation a été diffusé sur GitHub par le chercheur dans le but de faciliter la correction de ces vulnérabilités.

    Composants & versions vulnérables

    • rkt v1.x.

    CVE

    • CVE-2019-10144
    • CVE-2019-10145
    • CVE-2019-10147

    Recommandations
    +

    Mise en place de correctif de sécurité

    • Aucun correctif de sécurité n'a été proposé pour ces vulnérabilités.

    Solution de contournement

    • Eviter d'utiliser la commande "rkt enter" car les vulnérabilités non pas encore été corrigées, et RedHat n'a donné aucun planning de prise en compte ;
    • Privilégier des solutions de conteneurisation maintenues régulièrement comme Docker, podman ou LXD.