Palo Alto: bug nelle librerie GO di Kubernetes che porta alla compromissione dei container.



Un bug nelle librerie Go su cui si basa Kubernetes potrebbe portare a denial of service (DoS) per i motori dei contenitori CRI-O e Podman.


Si tratta della CVE-2021-20291 che interessa la libreria Go denominata containers/storage, secondo Aviv Sasson, il ricercatore di sicurezza del team dell'Unità 42 di Palo Alto che ha trovato il difetto.


Tale bug può essere attivato inserendo un'immagine dannosa all'interno di un registro; la condizione DoS viene creata quando quell'immagine viene estratta dal registro da un utente ignaro.


"Attraverso questa vulnerabilità, i malintenzionati potrebbero mettere a repentaglio qualsiasi infrastruttura containerizzata che si basa su questi motori di container vulnerabili, tra cui Kubernetes e OpenShift", ha detto mercoledì.


La libreria di containers/storage viene utilizzata da CRI-O e Podman per gestire l'archiviazione e il download delle immagini dei contenitori.


Quando la vulnerabilità viene attivata, CRI-O non riesce a estrarre nuove immagini, avviare nuovi contenitori (anche se sono già stati estratti), recuperare elenchi di immagini locali o uccidere contenitori, secondo il ricercatore.


L'impatto potrebbe essere abbastanza ampio: "A partire da Kubernetes v1.20, Docker è obsoleto e gli unici motori di container supportati sono CRI-O e Containerd", ha spiegato Sasson.


“Questo porta a una situazione in cui molti cluster utilizzano CRI-O e sono vulnerabili.


In uno scenario di attacco, un avversario può estrarre un'immagine dannosa su più nodi diversi, bloccandoli tutti e rompendo il cluster senza lasciare un modo per risolvere il problema se non riavviare i nodi. "