Amazon Web Services corrigiu escape de contêiner no hotfix do Log4Shell

E a Amazon Web Services corrigiu escape de contêiner no hotfix do Log4Shell. Confira os detalhes dessa atualização.

A Amazon Web Services (AWS) corrigiu quatro problemas de segurança em seu hot patch de dezembro que abordou a vulnerabilidade crítica do Log4Shell (CVE-2021-44228) que afetava ambientes na nuvem ou no local executando aplicativos Java com uma versão vulnerável da biblioteca de log Log4j ou containers.

Amazon Web Services corrigiu escape de contêiner no hotfix do Log4Shell

Amazon Web Services corrigiu escape de contêiner no hotfix do Log4Shell

Os pacotes de hot patch da Amazon não são exclusivos dos recursos da AWS e permitem escapar de um contêiner no ambiente e assumir o controle do host.

As falhas também podem ser exploradas por meio de processos sem privilégios para elevar privilégios e executar código como com permissões de root.

As vulnerabilidades são atualmente rastreadas como CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 e CVE-2022-0071. Todos eles foram avaliados como riscos de alta gravidade com uma pontuação de 8,8 em 10.

Pesquisadores de segurança da Unit 42 da Palo Alto Network descobriram que as soluções de hot-fix Log4Shell da Amazon continuariam procurando por processos Java e corrigindo-os rapidamente sem garantir que os processos corrigidos fossem executados sob as restrições impostas ao contêiner.

“Um contêiner malicioso, portanto, poderia ter incluído um binário malicioso chamado ‘java’ para enganar a solução de hot patch instalada para invocá-la com privilégios elevados”, explicam os pesquisadores.

Eles acrescentam que “o processo “java” malicioso poderia abusar de seus privilégios elevados para escapar do contêiner e assumir o host subjacente”.

Segundo a Palo Alto Networks:

“Os contêineres podem escapar independentemente de executarem aplicativos Java ou se seu host subjacente executar o Bottlerocket, a distribuição Linux reforçada da AWS para contêineres. Os contêineres executados com namespaces de usuário ou como usuário não root também são afetados.”

Outro problema criado pelo patch da Amazon foi que os processos do host foram tratados de forma semelhante, todos obtendo privilégios elevados durante o processo de correção do Log4Shell.

Potencialmente, um agente mal-intencionado pode plantar um binário de processo sem privilégios chamado “java” e enganar o serviço de correção para executá-lo com privilégios elevados.

A equipe da Unit 42 também publicou o seguinte vídeo de exploração de prova de conceito (PoC) para demonstrar o cenário de fuga de contêiner:

Os detalhes da implementação foram ocultados de propósito para impedir que os agentes de ameaças o usem imediatamente em ataques e para dar aos administradores tempo para aplicar as atualizações de segurança disponíveis.

Pesquisadores da Palo Alto Networks identificaram os problemas de segurança nas correções da AWS seis dias após o lançamento do hotfix e informaram a Amazon em 21 de dezembro de 2021.

A equipe de segurança da AWS reconheceu as vulnerabilidades e tentou corrigi-las com uma nova atualização em 23 de dezembro de 2021, mas as alterações se mostraram insuficientes.

Nos meses que se seguiram, a Unit 42 forneceu mais informações sobre como contornaram as novas correções e, em 4 de abril de 2022, os problemas restantes foram mínimos.

Em 19 de abril de 2022, a AWS lançou as atualizações finais para suas soluções de patch Log4Shell, que os administradores podem aplicar de uma das seguintes maneiras:

  • Os usuários do Kubernetes podem implantar a versão mais recente do Daemonset, o que não afetará o patch do Log4Shell
  • Os usuários do Hotdog podem atualizar para a versão mais recente disponível
  • Hosts autônomos podem atualizar usando os comandos:
             "yum update log4j-cve-2021-44228-hotpatch" (RPM)
             "apt install --only-upgrade log4j-cve-2021-44228-hotpatch" (DEB)

As quatro vulnerabilidades no hot-patch Log4Shell, descobertas pela Unit 42 da Palo Alto Networks são descritas a seguir:

  • CVE-2021-3100 : Escalação de privilégios decorrente da falha em imitar as permissões da JVM corrigida, permitindo que qualquer processo seja executado com altos privilégios desnecessários (pontuação base CVSS: 8,8)
  • CVE-2022-0070 : Correção incompleta para CVE-2021-3100
  • CVE-2021-3101 : Hotdog não respeitando as restrições do dispositivo, filtros syscall e limites de recursos na JVM de destino, potencialmente levando a modificações maliciosas, substituições de políticas e esgotamento de recursos (pontuação base CVSS: 8,8)
  • CVE-2022-0071 : Correção incompleta para CVE-2021-3101

A Amazon também lançou um novo aviso sobre as vulnerabilidades acima, fornecendo orientações oficiais para resolver os problemas.

A Unit 42 alerta para não priorizar a correção de falhas de escape de contêiner no Log4Shell porque a vulnerabilidade do Log4j é mais grave e explorada ativamente.

Deixe um comentário

Sair da versão mobile