Спустя неделю после публикации информации о CVE-2019-5736, PoC-код для ее эксплуатации был размещен на GitHub.
На портале GitHub опубликован PoC-код для уязвимости (CVE-2019-5736) в инструменте для запуска изолированных контейнеров RunC, затрагивающей популярные облачные платформы, включая AWS и Google Cloud, а также ряд дистрибутивов Linux.
Напомним, данная уязвимость предоставляет злоумышленнику возможность из вредоносного контейнера изменить исполняемый файл RunC и получить права суперпользователя на хост-системе. Проблеме подвержены все системы контейнерной изоляции, использующие RunC, включая Docker, containerd, Podman и CRI-O.
Как и было обещано, спустя неделю после публикации информации о проблеме, PoC-код для ее эксплуатации был размещен на GitHub. Это лишь один из сценариев использования проблемы: для работы эксплоита атакующему требуются права суперпользователя (uid 0) внутри контейнера.
Второй сценарий эксплуатации уязвимости предусматривает использование вредоносного образа Docker, который инициирует запуск эксплоита без необходимости выполнять docker exec.
На минувшей неделе Amazon, Google, VMware, а также разработчики Red Hat, Debian и Ubuntu подтвердили наличие уязвимости в своих продуктах. Компания VMware уже выпустила соответствующие патчи для VMware Integrated OpenStack with Kubernetes (VIO-K), VMware PKS (PKS), VMware vCloud Director Container Service Extension (CSE) и vSphere Integrated Containers (VIC).
Компания Cisco в настоящее время изучает свои продукты на предмет данной уязвимости. Пока производитель смог подтвердить, что проблема не затрагивает Cisco Metacloud.
