SchwachstellenContainer-SicherheitCyberkriminalität

Kritische Sicherheitslücke in Cohere-Sandbox Terrarium: Root-Zugriff möglich

Kritische Sicherheitslücke in Cohere-Sandbox Terrarium: Root-Zugriff möglich
Zusammenfassung

Eine kritische Sicherheitslücke in Terrarium, einem von Cohere AI entwickelten Python-Sandbox, gefährdet weltweit Systeme, die mit künstlicher Intelligenz generierte oder benutzerdefinierte Code-Snippets ausführen. Die als CVE-2026-5752 katalogisierte Schwachstelle ermöglicht es Angreifern durch JavaScript-Prototype-Chain-Traversierung, beliebigen Code mit Root-Rechten auszuführen und aus der Container-Umgebung auszubrechen. Terrarium wird als Docker-Container eingesetzt, um nicht vertrauenswürdigen Code zu isolieren, läuft aber auf Pyodide, das eine JavaScript-basierte Umgebung nutzt. Sicherheitsexperte Jeremy Brown entdeckte die Lücke mit einem kritischen CVSS-Score von 9,3. Besonders besorgniserregend ist, dass das Projekt nicht mehr aktiv gepflegt wird, weshalb ein Patch unwahrscheinlich ist. Während der Exploit lokalen Zugriff erfordert, können Angreifer danach auf sensible Dateien zugreifen, die Container-Isolation umgehen und möglicherweise Berechtigungen erhöhen. Deutsche Unternehmen und Behörden, die auf Sandbox-Lösungen für die sichere Codeausführung, KI-gestützte Entwicklertools oder automatisierte Codeanalyse setzen, sind potenziell betroffen und sollten ihre Systeme überprüfen und alternative Sicherheitslösungen evaluieren.

Die Sicherheitsforscher der CERT Coordination Center haben eine kritische Sandbox-Escape-Vulnerabilität in Terrarium offengelegt, die es böswilligen Akteuren ermöglicht, die Sicherheitsgrenzen der Sandbox zu umgehen und mit Root-Privilegie auf dem Host-System Befehle auszuführen.

Terrarium basiert auf Pyodide, einer Python-Distribution für Browser und Node.js-Umgebungen, die es dem Projekt ermöglicht, Standard-Python-Pakete zu unterstützen. Die technische Ursache der Sicherheitslücke liegt in einer JavaScript-Prototype-Chain-Traversal im Pyodide-WebAssembly-Environment. Angreifer können durch gezielte Manipulation der Prototype-Chain auf Objekte der Host-Umgebung zugreifen und so die Sandbox-Grenzen durchbrechen.

“Der Sandbox scheitert darin, angemessen Zugriff auf übergeordnete oder globale Objekt-Prototypen zu verhindern, was sandboxed Code ermöglicht, auf Objekte in der Host-Umgebung zuzugreifen und diese zu manipulieren”, erklärt das Sicherheitsunternehmen SentinelOne die Funktionsweise des Angriffs. Diese als Prototype Pollution bekannte Technik umgeht die beabsichtigten Sicherheitsgrenzen der Sandbox.

Ein erfolgreicher Exploit könnte Angreifern folgende Aktionen ermöglichen: Ausführung beliebiger Systemkommandos mit Root-Rechten innerhalb des Containers, Zugriff auf sensitive Dateien wie “/etc/passwd”, Zugriff auf andere Services im Container-Netzwerk und möglicherweise sogar Container-Escape mit Privilege-Escalation. Besonders problematisch ist, dass der Angriff lediglich lokalen Zugriff auf das System erfordert – es sind weder Benutzerinteraktion noch spezielle Privilegien erforderlich.

Die Schwachstelle wurde von Security-Researcher Jeremy Brown entdeckt und gemeldet. Für Organisationen stellt sich nun ein ernstes Dilemma: Da das Terrarium-Projekt nicht mehr aktiv gepflegt wird, ist eine offizielle Patch-Lösung unwahrscheinlich. Das CERT/CC empfiehlt betroffenen Nutzern, sofortmaßnahmen zur Risikominderung zu ergreifen, konkrete Lösungsvorschläge sind jedoch begrenzt.

Unternehmen und Entwickler, die Terrarium in ihrer Infrastruktur einsetzen – etwa zur sicheren Ausführung von LLM-generiertem Code oder Nutzer-Skripten – sollten dringend evaluieren, ob eine Migration zu aktiv gewarteten Alternativen notwendig ist. Die Kombination aus kritischer Schwachstelle und fehlendem Patch-Support macht Terrarium für Produktionsumgebungen zum erheblichen Sicherheitsrisiko.

Ähnliche Artikel