研究人员发现了容器引擎组件中的四个漏洞，他们将其称为“Leaky Vessels”，其中三个漏洞为攻击者提供了突破容器并在底层主机系统上执行恶意操作的方法。

其中一个漏洞（指定为CVE-2024-21626）影响 runC（适用于 Docker 和其他容器环境的轻量级容器运行时）。它是四个漏洞中最紧急的一个，CVSS 评分标准的严重性评分为 8.6 分（满分 10 分）。

Snyk 的安全研究员 Rory McNamara（该公司发现了这些缺陷并将其报告给 Docker）表示，runC 漏洞可以在容器的构建时和运行时实现容器逃逸。

在最坏的情况下，未经授权访问底层主机操作系统的攻击者可能会访问同一主机上运行的任何其他内容，包括但不限于允许对手发起进一步攻击的关键凭据。

McNamara 警告说：“由于此漏洞会影响任何使用容器构建应用程序的人（基本上是全球所有云原生开发人员），未经检查的访问可能会损害整个 Docker 或 Kubernetes 主机系统。”

“漏水容器”缺陷

其他三个漏洞影响 BuildKit，Docker 的默认容器镜像构建工具包。其中之一 ( CVE-2024-23651)涉及与运行时缓存层的安装方式相关的竞争条件。另一个 ( CVE-2024-23653 ) 影响 BuildKit 远程过程调用协议中的安全模型；第三个漏洞（CVE-2024-23652）是一个文件删除漏洞，也在 BuildKit 中。

在 1 月 31 日的博客文章中，安全供应商建议组织“检查提供容器运行时环境的任何供应商的更新，包括 Docker、Kubernetes 供应商、云容器服务和开源社区。”

Snyk 指出，受影响的容器映像组件和构建工具的广泛使用是组织在提供商提供可用后立即升级到固定版本的原因。

其中两个 Docker BuildKit 漏洞（CVE-2024-23651 和 CVE-2024-23653）仅在构建时进行转义。“最后一个 Docker 漏洞 (CVE-2024-23652) 是任意主机文件删除，这意味着它不是典型的容器逃逸，”麦克纳马拉说。

一个日益严重的问题

容器漏洞给企业组织带来了一个日益严重的问题。Sysdig 去年进行的一项研究发现，生产中87% 的容器镜像中至少存在一个高严重性或严重性漏洞。该公司将高比例的漏洞归因于组织匆忙部署云应用程序而没有适当关注安全问题。Rezilion 在 2023 年的研究发现了数百个 Docker 容器映像，其中包含标准漏洞检测和软件组合分析工具无法检测到的漏洞。

这一趋势导致去年人们对集装箱安全的看法发生了变化。例如，D-Zone 的一项调查发现，只有 51% 的受访者表示容器化使他们的应用程序更加安全，而 2021 年这一比例为 69%。约 44% 的受访者表示容器化实际上降低了他们的应用程序环境的安全性，而这一数字仅为 7% 2021 年的百分比。

高访问要求

McNamara 表示，Snyk 发现的四个漏洞相对容易利用，并且通常涉及不到 30 行的 Dockerfile。然而，他说，访问要求很高。要利用这些缺陷，攻击者需要能够执行以下操作：在目标上运行任意容器；在目标上构建任意容器；或危害上游容器或导致受害系统使用受控上游容器。

McNamara 表示，这些缺陷并不是真正可以远程执行的，除非 Kubernetes 和类似受影响的环境可以通过网络访问。“但从真正的‘远程’利用的意义上来说，答案是否定的，”他说。“仍然需要充分访问该环境，使其在功能上是本地的。”