Une grosse faille de sécurité découverte par deux chercheurs au cœur du runtime des containers rend toutes les infrastructures Docker, Kubernetes, Mesos et autres vulnérables à des attaques de bas niveau.

Vos infrastructures de containers sont en danger! Une nouvelle faille de sécurité située dans le runtime d’exécution des containers, la fondamentale librairie runC, permet d’aisément attaquer la machine hôte à travers un container malveillant ou infecté. Rappelons que dans une infrastructure classique, tous les containers d’une machine physique partagent un même kernel Linux (ou un même kernel Windows Server dans le cas des containers Windows). C’est d’ailleurs pourquoi certains préfèrent embarquer chaque conteneur dans des micro-machines virtuelles hébergeant leur propre micro-OS, comme c’est le cas avec l’approche VMware Integrated Containers ou les Hyper-V Containers.

C’est le moteur d’exécution de ce Linux partagé par tous les containers d’une machine qui est ici ciblé au travers de la faille CVE-2019-5736 découverte par Adam Iwaniuk et Borys Popławski. Une fois le fichier runC modifié par une attaque exploitant cette faille, toute la machine physique et potentiellement tous les containers qu’elle héberge sont à la merci des attaquants.

Voilà une faille majeure et critique (d’un score CVSSv3 de 7,2) qui doit impérativement être comblée rapidement par les administrateurs. Le patch est d’ores et déjà disponible. Mais la divulgation d’un code source d’exploitation dans 7 jours promet une semaine infernale à tous les grands clouds de la planète. Car cette librairie runC intimement liée au kernel Linux rend en effet vulnérable toutes les infrastructures de containers qu’elles s’appuient sur LXC, Docker, MESOS, containerd, ou encore Kubernetes. Et il n’existe pas vraiment d’autres solutions que le patching des Linux Hosts pour se protéger de cette faille.

La bonne nouvelle, c’est qu’une fois qu’une machine physique a été patchée, les conteneurs peuvent aisément y être déplacés (c’est leur nature même) et ne plus présenter de risques. Ce qui peut simplifier les opérations de patching des serveurs.