Il codice remoto exec è così 2014. Fai in modo che questo contenitore esca e privilegi l'escalation, invece.
Amazon Web Services ha aggiornato le sue patch di sicurezza Log4j dopo che è stato scoperto che le correzioni originali rendevano le distribuzioni dei clienti vulnerabili all'evasione dei container e all'escalation dei privilegi.
Le vulnerabilità introdotte dall'hotpatch Log4j di Amazon – CVE-2021-3100 , CVE-2021-3101 , CVE-2022-0070 , CVE-2022-0071 – sono tutti bug di gravità elevata classificati 8,8 su 10 su CVSS. I clienti AWS che utilizzano il software Java nei loro ambienti off-premise dovrebbero prendere l'ultimo set di patch da Amazon e installarlo.
"Raccomandiamo ai clienti che eseguono applicazioni Java in container e utilizzano hotpatch o Hotdog di eseguire immediatamente l'aggiornamento alle ultime versioni del software", ha affermato martedì il gigante del cloud in un bollettino sulla sicurezza .
A dicembre, poco dopo che i ricercatori della sicurezza hanno lanciato l'allarme sull'ormai famigerato difetto di esecuzione del codice remoto nella libreria di registrazione di Apache, incredibilmente utilizzata, Amazon ha rilasciato hot-fix di emergenza per chiudere Log4j RCE in JVM vulnerabili in più ambienti: server virtuali standalone, Cluster Kubernetes, istanze Amazon Elastic Container Service (ECS) e situazioni serverless AWS Fargate.
L'obiettivo era risolvere rapidamente la vulnerabilità della libreria di registrazione mentre gli amministratori di sistema capivano di migrare le loro applicazioni e servizi a una versione Log4j non vulnerabile.
Tuttavia, gli aggiornamenti rapidi hanno introdotto inavvertitamente nuovi punti deboli. Questi nuovi bug, se sfruttati, potrebbero consentire a un criminale di sfuggire a un container e assumere il server host sottostante come utente root, secondo il team di ricerca sulle minacce dell'Unità 42 di Palo Alto Networks, che ha scoperto i difetti . Lo sfruttamento potrebbe quindi portare al dirottamento di altri contenitori e applicazioni dei clienti sull'host.
AWS rilascia nuove hotpatch
Questa settimana AWS ha rilasciato nuove versioni dell'hotpatch per Amazon Linux e Amazon Linux 2. I clienti che utilizzano l'hotpatch per Apache Log4j su Amazon Linux possono eseguire l'aggiornamento alla nuova versione eseguendo il comando seguente: sudo yum update.
I clienti che utilizzano Bottlerocket con la correzione Hotdog per Apache Log4j possono eseguire l'aggiornamento all'ultima versione di Bottlerocket , che include la versione aggiornata di Hotdog.
Per affrontare le vulnerabilità nei cluster Kubernetes, gli utenti possono installare l'ultimo Daemonset fornito da AWS, che include l'hotpatch fisso.
Il problema con le precedenti patch di AWS, secondo il ricercatore di sicurezza dell'Unità 42 Yuval Avrahami, è che tenteranno di applicare una patch a qualsiasi processo che esegue un file binario chiamato "java" - al fine di riparare le JVM vulnerabili - e lo faranno eseguendo il container Binario "java" con privilegi elevati e le sicurezze rimosse. Come ha spiegato:
Ad esempio, il binario 'java' è stato richiamato negli spazi dei nomi del contenitore tramite il comando nsenter (escluso lo spazio dei nomi utente). Ma a parte questo, è stato generato con tutte le capacità di Linux e senza le tecnologie di isolamento che normalmente confinano i container , come seccomp e cgroups . Funzionava anche come utente root indipendentemente dall'utente del contenitore.
Ci è stato detto che un container con un binario dannoso chiamato "java" verrebbe quindi invocato dalla patch, con privilegi sufficienti per sfuggire al container e prendere il controllo dell'host.
L'unità 42 ha creato un video di prova che mostra un attacco alla catena di approvvigionamento tramite un'immagine di container dannosa che sfrutta la patch precedente. Allo stesso modo, i container compromessi esistenti possono sfruttare il vuln per fuggire e prendere il controllo del loro host sottostante. Ma il team di sicurezza "ha deciso di non condividere i dettagli di implementazione dell'exploit in questo momento per impedire a malintenzionati di utilizzarlo come armi".
Le patch AWS fisse generano binari "java" con i privilegi appropriati per impedire la fuga di un container, ha scritto Avrahami.
