Plataforma
go
Componente
github.com/cri-o/cri-o
Corregido en
1.30.1
1.29.5
1.28.7
1.28.7
1.28.7
1.28.7
La vulnerabilidad CVE-2024-5154 afecta a cri-o, un controlador de orquestación de contenedores. Un contenedor malicioso puede explotar esta falla para crear un enlace simbólico llamado "mtab" directamente en el sistema de archivos del host. Esto podría permitir al atacante manipular la información del sistema y potencialmente escalar privilegios, comprometiendo la integridad del entorno de contenedores. La vulnerabilidad afecta a versiones de cri-o a partir de 1.28.0 y se ha solucionado en la versión 1.28.7.
La creación de un enlace simbólico "mtab" en el host por parte de un contenedor comprometido representa un riesgo significativo para la seguridad. El archivo "mtab" contiene información sobre los sistemas de archivos montados en el sistema. Un atacante podría usar esta información para identificar puntos de montaje vulnerables o para manipular el sistema de archivos del host. Esta manipulación podría llevar a la ejecución de código arbitrario en el host, permitiendo el acceso no autorizado a datos sensibles y el control del sistema. Aunque no se han reportado explotaciones activas, la naturaleza de la vulnerabilidad, que permite la manipulación directa del sistema de archivos del host, la convierte en un objetivo atractivo para actores maliciosos. La posibilidad de escalar privilegios desde un contenedor a un host es similar a los riesgos asociados con la fuga de información del sistema de archivos en otros entornos de contenedores.
CVE-2024-5154 fue publicado el 14 de junio de 2024. Actualmente, no se encuentra en el KEV de CISA, ni hay un EPSS score disponible. No se han reportado públicamente pruebas de concepto (PoCs) para esta vulnerabilidad, pero la naturaleza de la falla sugiere que podría ser relativamente fácil de explotar una vez que se disponga de una PoC. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad.
Organizations heavily reliant on containerized applications using cri-o are at risk. This includes Kubernetes clusters and environments utilizing cri-o as a container runtime. Specifically, deployments with lenient container isolation policies or those running older, unpatched cri-o versions are particularly vulnerable.
• linux / server:
journalctl -u cri-o -g "symlink creation"• linux / server:
find / -name mtab -type l• linux / server:
ps aux | grep cri-o | grep -i mtabdisclosure
Estado del Exploit
EPSS
1.68% (82% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-5154 es actualizar cri-o a la versión 1.28.7 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir los privilegios del contenedor para evitar que pueda escribir en directorios críticos del sistema de archivos del host es una opción. Además, se pueden configurar reglas en un firewall o proxy para limitar el acceso a los recursos del host desde los contenedores. Monitorear la actividad del sistema de archivos del host en busca de la creación de enlaces simbólicos inesperados también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la corrección verificando la versión de cri-o con el comando crio version y asegurándose de que sea igual o superior a 1.28.7.
Actualice cri-o a la versión 1.30.1 o superior, o a las versiones indicadas en los advisories de Red Hat (RHSA-2024:10818, RHSA-2024:3676, RHSA-2024:3700). Esto evitará que contenedores maliciosos creen enlaces simbólicos en el host y accedan a archivos arbitrarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-5154 is a high-severity vulnerability in cri-o where a malicious container can create a symlink named 'mtab' on the host, potentially leading to privilege escalation.
You are affected if you are running cri-o versions prior to 1.28.7. Check your version and upgrade immediately.
Upgrade cri-o to version 1.28.7 or later. Consider stricter container isolation policies as an interim measure.
There are currently no known public exploits or active campaigns, but the vulnerability's ease of exploitation makes it a potential target.
Refer to the cri-o project's security advisories for the latest information: https://github.com/cri-o/cri-o/security/advisories
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.