Vladislav Kochelaevs - Fotolia

Eine Schwachstelle in Container-Techniken erlaubt Angriffe auf den Host

Mit dem zunehmenden Einsatz von Containern steigt auch deren Attraktivität als Angriffsziel. Schwachstellen können da weitreichende Folgen haben.

Die Schwachstelle CVE-2016-99642 hat an einem der zentralen Sicherheitskonzepte von Container-Lösungen gerüttelt. Es handelt sich dabei um eine Schwachstelle, über die Angreifer aus einer isolierten Container-Umgebung ausbrechen und das Host-System attackieren können. Das Problem entsteht, wenn das System einen Befehl innerhalb des Containers falsch interpretiert.

Ein bösartiger Prozess kann innerhalb eines Containers ein legitimes Kommando eines Administrators übernehmen. Das Timing des Exploits muss sehr exakt sein, der Zugriff auf so ein Kommando kann nur in einem kleinen Fenster erfolgen. Falls dieser Zugriff aber klappt, kann der bösartige Prozess auf den Host zugreifen und erfolgreich aus dem Container ausbrechen.

Das wahrscheinlichste Szenario ist, dass ein Angreifer innerhalb des Containers für Auffälligkeiten oder ungewöhnliches Verhalten sorgt und so für eine Untersuchung durch einen Administrator auslöst. Sobald der Admin die Probleme untersucht, kann der bösartige Prozess aktiv werden und den Ausbruch versuchen.

Ein Ausbruch aus einem Container ist ähnlich problematisch, wie wenn Angreifer aus einer virtuellen Maschine ausbrechen können. Besonders im IaaS-Umfeld kann diese ein ganz erhebliches Problem darstellen. Kann ein Angreifer den zugrunde liegenden Host übernehmen – vor allem, wenn er Root-Rechte besitzt – kann diese für massive Probleme sorgen und dem Angreifer weitreichende Zugriffsrechte ermöglichen.

Die Schwachstelle wurde in mehreren Proof of Concepts demonstriert, unter anderem wurde ein Ausbruch aus einem Docker Container innerhalb der Amazon Elastic Compute Cloud erfolgreich demonstriert. Diese Schwachstellen wurden später geschlossen.

Hersteller haben die Schwachstelle mit verschiedenen Warnstufen klassifiziert. Amazon etwa stuft sie als „Rot“ ein, der zweithöchsten Kategorie. Red Hat andererseits klassifiziert sie lediglich als „Moderat“. Docker selbst sieht die Schwachstelle nur als „Minor“. Die Unterschiede basieren liegen vor allen daran, wie die individuellen Hersteller die Risiken einschätzen und wie die Schwachstelle in ihrer jeweiligen Umgebung ausnutzbar ist.

Inzwischen ist die Schwachstelle geschlossen. Admins sollten überprüfen, dass Docker mindestens die Versionsnummer 1.12.6 aufweist. Andernfalls sollte ein manuelles Update über den Befehl yum update docker funktionieren. Es handelt sich dabei allerdings nicht um die erste Schwachstelle dieser Art.

Container-Sicherheit im Blick behalten

Container sind ein relativ neues Konzept, zumindest im Zusammenhang mit Unternehmen. Die Forschung bezüglich Linux-Schwachstellen wird in diesem Bereich oft nicht so umfangreich durchgeführt. Das dürfte sich wahrscheinlich demnächst ändern, vor allem, wenn immer mehr Organisationen auf Container und IaaS setzen.

Wer Dienste im Bereich Infrastructure as a Service nutzt, sollte genau wissen, wer für die Updates der verschiedenen Programme innerhalb der Container zuständig ist. Viele IaaS Provider setzen auf ein Modell, bei dem die Verantwortung aufgeteilt wird. Es ist wahrscheinlich, dass die Wartung der Container-Lösungen in den Verantwortungsbereich der jeweiligen Firma fällt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Container-Images und Container-Inhalte sicher einsetzen

Regeln für den sicheren Einsatz von Containern

Wie Sandboxing und Container gegen Malware eingesetzt werden

Container-Sicherheit mit Docker und Windows Server 2016

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close