De “hotpatch” die is vrijgegeven door Amazon Web Services (AWS) als reactie op de Log4Shell-kwetsbaarheden, kan worden gebruikt voor het ontsnappen van containers en escalatie van bevoegdheden, waardoor een aanvaller de controle over de onderliggende host kan grijpen.
“Afgezien van containers, kunnen niet-geprivilegieerde processen de patch ook misbruiken om privileges te escaleren en rootcode-uitvoering te verkrijgen”, Yuval Avrahami, onderzoeker van Palo Alto Networks Unit 42 zei in een rapport dat deze week is gepubliceerd.
De problemen – CVE-2021-3100, CVE-2021-3101, CVE-2022-0070en CVE-2022-0071 (CVSS-scores: 8,8) — beïnvloeden de hotfix-oplossingen verzonden door AWS, en komen voort uit het feit dat ze zijn ontworpen om naar Java-processen te zoeken en deze on-the-fly te patchen tegen de Log4j-fout, maar zonder ervoor te zorgen dat de nieuwe Java-processen worden uitgevoerd binnen de beperkingen die aan de container zijn opgelegd.
“Elk proces dat een binair bestand met de naam ‘java’ uitvoert – binnen of buiten een container – wordt beschouwd als een kandidaat voor de hot patch,” legde Avrahami uit. “Een kwaadaardige container zou daarom een kwaadaardig binair bestand met de naam ‘java’ kunnen bevatten om de geïnstalleerde hot patch-oplossing te misleiden om het aan te roepen met verhoogde privileges.”
In de volgende stap kunnen de verhoogde privileges worden gebruikt door het kwaadaardige ‘java’-proces om uit de container te ontsnappen en volledige controle over de gecompromitteerde server te krijgen.
Een bedrieglijk niet-geprivilegieerd proces zou op een vergelijkbare manier een kwaadaardig binair bestand met de naam “java” kunnen hebben gemaakt en uitgevoerd om de hotpatch-service te misleiden om het met verhoogde privileges uit te voeren.
Gebruikers zijn aanbevolen om zo snel mogelijk te upgraden naar de vaste hot patch-versie om mogelijke uitbuiting te voorkomen, maar alleen nadat prioriteit is gegeven aan het patchen tegen de actief uitgebuite Log4Shell-fouten.
“Containers worden vaak gebruikt als beveiligingsgrens tussen applicaties die op dezelfde machine draaien”, zegt Avrahami. “Door te ontsnappen aan een container kan een aanvaller een campagne uitbreiden tot buiten een enkele applicatie en naburige services compromitteren.”
