Alertan sobre los peligros de la nueva vulnerabilidad en la nube en runC de Docker

14 marzo, 2019
17 Compartido 2,515 Visualizaciones

Esta vulnerabilidad permite sobrescribir el host runC para poder ejecutar comandos en contenedores que ya existen o en nuevos que controlan los cibercriminales.

Check Point, proveedor especializado en ciberseguridad a nivel mundial, alerta de una vulnerabilidad crítica en el binario runC de Linux descubierta por los investigadores Adam Iwaniuk y Borys Poplawski. Esta vulnerabilidad permite al cibercriminal sobrescribir el runC para obtener acceso root y poder ejecutar un comando tanto en nuevos contenedores creados por el atacante como a través de contenedores que ya existen y a los que también tiene acceso.

¿Qué servicios se han visto afectados por esta vulnerabilidad?

Esta vulnerabilidad, catalogada como CVE-2019-5736, ha afectado a los siguientes servicios:

  1. Amazon: se ha comprometido la seguridad de los servicios que incorporan contenedores como ECS, EKS y AWS Fargate del gigante del comercio electrónico. La compañía ha reconocido que esta vulnerabilidad ha afectado a 11 de sus servicios, ha informado a sus clientes de la situación y les ha recomendado que actualicen las últimas versiones.
  2. Google: ha recomendado instalar los últimos parches de seguridad disponibles en los nodos de Ubuntu Kubernetes Engine (GKE) cuyos niveles de seguridad han estado comprometidos
  3. Docker: el proveedor de contenedores Docker ha informado que los productos que cuentan con una versión anterior a 18.09.02 se han visto afectados, pero la propia compañía ha realizado una actualización que incluye un parche de seguridad para combatir esta vulnerabilidad.
  4. Red Hat: el proveedor de soluciones de código abierto también ha sufrido las consecuencias de esta vulnerabilidad; sin embargo, consideran que el número de clientes afectados es bajo.

“La seguridad en la nube sigue siendo una asignatura pendiente para las empresas”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. Por este motivo, la compañía ha incluido Dome9 en su catálogo de soluciones cloud para mejorar la arquitectura Infinity por medio de   políticas activas y protección multi-nube avanzadas. CloudGuard Dome9 detecta el nivel de seguridad utilizando su innovador lenguaje Governance Specification Language (GSL). A diferencia de otros sistemas que requieren escribir códigos para definir reglas, GSL permite crear nuevas reglas escritas en un lenguaje común para facilitar así su comprensión.

“Gracias a CloudGuard Dome9 podemos ayudar a las empresas controlar su estrategia, detectar errores de configuración y potenciar los puntos fuertes de su estructura de seguridad. De esta forma, podemos alertarles cuando se encuentren expuestas a vulnerabilidades. En el caso de la vulnerabilidad CVE-2019-5736 detectada en Linux, CloudGuard Dome9 puede identificar las vulnerabilidades en los servicios Fargate, y de esta forma reiniciar los servicios con la versión recomendada”, señalan desde Check Point.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Salesforce amplía Commerce Cloud con nuevas herramientas para integrar experiencias de compra inteligentes, personalizadas y conectadas en cualquier lugar
Actualidad
16 compartido1,570 visualizaciones
Actualidad
16 compartido1,570 visualizaciones

Salesforce amplía Commerce Cloud con nuevas herramientas para integrar experiencias de compra inteligentes, personalizadas y conectadas en cualquier lugar

Vicente Ramírez - 17 enero, 2019

La nueva API Einstein de Commerce Cloud extiende las recomendaciones de productos impulsados por la IA más allá de la…

¿Cómo están utilizando el phishing los cibercriminales en España?
Actualidad
5 compartido1,425 visualizaciones
Actualidad
5 compartido1,425 visualizaciones

¿Cómo están utilizando el phishing los cibercriminales en España?

Aina Pou Rodríguez - 6 mayo, 2020

El Ministerio de Trabajo o entidades bancarias como Banco Sabadell son algunas de las empresas utilizadas para llevar a cabo…

Google implanta un informe sobre la transparencia en la propaganda política de la UE en 2019
Actualidad
15 compartido1,214 visualizaciones
Actualidad
15 compartido1,214 visualizaciones

Google implanta un informe sobre la transparencia en la propaganda política de la UE en 2019

Vicente Ramírez - 7 mayo, 2019

Cualquiera puede acceder y usar esta información, que está indexada, para que los usuarios puedan clasificar de manera sencilla los…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.