Οι ενημερώσεις κώδικα που διατίθενται από τις υπηρεσίες Web της Amazon (AWS) ως απόκριση στις πρόσφατες ευπάθειες του Log4j, θα μπορούσαν να χρησιμοποιηθούν για κλιμάκωση προνομίων ή για διαφυγή κοντέινερ, σύμφωνα με την Palo Alto Networks.
Τα τρωτά σημεία του Apache Log4j που αποκαλύφθηκαν τον Δεκέμβριο του 2021, συμπεριλαμβανομένου αυτού που παρακολουθείται ως Log4Shell, μπορούν να επιτρέψουν στους εισβολείς να εκτελούν εξ αποστάσεως αυθαίρετο κώδικα και να αναλάβουν τον έλεγχο των ευάλωτων συστημάτων.
Ως απόκριση σε αυτά τα ελαττώματα, η AWS κυκλοφόρησε πολλαπλά hot patches – το καθένα κατάλληλο για διαφορετικό περιβάλλον, συμπεριλαμβανομένων των διακομιστών, του Kubernetes, του Elastic Container Service (ECS) και του Fargate – που θα παρακολουθούσαν τις ευάλωτες εφαρμογές και τα κοντέινερ και θα τα επιδιορθώνουν εν κινήσει.
Ερευνητές από το Palo Alto Networks’ Unit42 ανακάλυψαν ότι, μόλις εγκατασταθεί το hot patch, οποιοδήποτε κοντέινερ στον διακομιστή ή το σύμπλεγμα θα μπορούσε να το εκμεταλλευτεί για να καταλάβει τον υποκείμενο κεντρικό υπολογιστή. Επιπλέον, οι μη προνομιούχες διεργασίες θα μπορούσαν να εκμεταλλευτούν τα hot patches για να αυξήσουν τα δικαιώματα και να εκτελέσουν κώδικα ως root.
Από τον Δεκέμβριο του 2021, η AWS κυκλοφόρησε τρεις λύσεις hot patching: μία σε πακέτο RPM ή Debian, ένα hot patch Daemonset για συμπλέγματα Kubernetes και μία ομαδοποιημένη ως σύνολο αγκίστρων OCI και προορίζεται για κεντρικούς υπολογιστές Bottlerocket (που ονομάζεται Hotdog).
«Μετά την εγκατάσταση οποιασδήποτε από τις ενημερώσεις κώδικα σε έναν κεντρικό υπολογιστή ή σύμπλεγμα, τα νέα κοντέινερ μπορούν να εκμεταλλευτούν την ενημερωμένη έκδοση κώδικα για να διαφύγουν και να διακυβεύσουν τον υποκείμενο κεντρικό υπολογιστή τους. Σε κεντρικούς υπολογιστές που εγκατέστησαν είτε την υπηρεσία hot patch είτε την hot patch Daemonset, τα υπάρχοντα κοντέινερ μπορούν επίσης να διαφύγουν», λέει η Unit42.
Για να επιδιορθώσουν τις διεργασίες JavaScript εν κινήσει, οι λύσεις καλούν ορισμένα δυαδικά κοντέινερ και οι ερευνητές ανακάλυψαν ότι το έκαναν χωρίς την κατάλληλη αποθήκευση, πράγμα που σημαίνει ότι οι περιορισμοί που ισχύουν συνήθως για τις διεργασίες κοντέινερ δεν θα ισχύουν και για τις νέες διεργασίες.
«Επομένως, ένα κακόβουλο κοντέινερ θα μπορούσε να περιλαμβάνει ένα κακόβουλο δυαδικό αρχείο με το όνομα «java» για να ξεγελάσει την εγκατεστημένη λύση hot patch ώστε να την επικαλεστεί με αυξημένα προνόμια. Η κακόβουλη διαδικασία «java» θα μπορούσε στη συνέχεια να κάνει κατάχρηση των αυξημένων προνομίων της για να ξεφύγει από το κοντέινερ και να καταλάβει τον υποκείμενο κεντρικό υπολογιστή», εξηγούν οι ερευνητές.
Οι λύσεις hot patch αντιμετώπιζαν τις μη προνομιούχες διεργασίες με παρόμοιο τρόπο, πράγμα που σημαίνει ότι μια κακόβουλη μη προνομιακή διεργασία θα μπορούσε να δημιουργήσει ένα δυαδικό αρχείο με το όνομα “java” και να κάνει κατάχρηση της υπηρεσίας hot patch για να αυξήσει τα προνόμιά της.
“Τα ζητήματα είναι εκμεταλλεύσιμα ανεξάρτητα από τη διαμόρφωση του κοντέινερ, επομένως επηρεάζονται ακόμη και περιβάλλοντα που επιτρέπουν προηγμένες τεχνικές απομόνωσης, όπως η εκτέλεση κοντέινερ σε χώρους ονομάτων χρήστη ή ως μη ριζικός χρήστης”, σημειώνει η Unit42.
Οι ερευνητές ασφαλείας προειδοποιούν επίσης ότι, επειδή τα hot patches ενδέχεται να έχουν αναπτυχθεί σε κλίμακα μετά το Log4Shell, πολλά περιβάλλοντα κοντέινερ μπορεί να έχουν εκτεθεί σε κινδύνους ασφαλείας και ορισμένα μπορεί να συνεχίσουν να επηρεάζονται, δεδομένου ότι οι χρήστες μπορεί να είχαν διατηρήσει το hot patch τρέχει ακόμα και μετά την κυκλοφορία άλλων επιδιορθώσεων.
Εντοπίστηκαν συνολικά τέσσερα ζητήματα, τα οποία παρακολουθήθηκαν ως CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 και CVE-2022-0071. Διορθώσεις που εξέδωσε το AWS στις 19 Απριλίου εξαλείφουν τις δυνατότητες διαφυγής κοντέινερ και κλιμάκωσης προνομίων.
Οι χρήστες ενθαρρύνονται να εφαρμόσουν τις σταθερές λύσεις hot patch το συντομότερο δυνατό, ειδικά σε περιβάλλοντα κοντέινερ πολλαπλών μισθώσεων και συμπλέγματα που εκτελούν μη αξιόπιστες εικόνες.
