En ny højsværhedssårbarhed i Linux-kernen kunne være blevet misbrugt til at undslippe en container for at udføre vilkårlige kommandoer på værten. Sårbarheden spores som CVE-2022-0492, og er blevet detaljeret af Palo Alto Unit 42 Netværksforskere.
CVE-2022-0492 Linux Kernel Bug i detaljer
Ifølge Palo Altos indlæg, "den feb. 4, Linux annoncerede CVE-2022-0492, en ny privilegieeskaleringssårbarhed i kernen. CVE-2022-0492 markerer en logisk fejl i kontrolgrupper (c-grupper), en Linux-funktion, der er en grundlæggende byggesten af containere." Det er bemærkelsesværdigt, at sårbarheden betragtes som en af de enkleste, for nylig opdagede Linux-privilegie-eskaleringsfejl. På sin kerne, Linux-kernen afslørede fejlagtigt en privilegeret operation for uprivilegerede brugere, hedder det i rapporten.
Den gode nyhed er, at standardsikkerhedshærdningerne i de fleste containermiljøer er nok til at forhindre containerudslip. Mere specifikt, beholdere, der kører med AppArmor eller SELinux, er sikre. I tilfælde af at du kører containere uden disse рbeskyttelser eller med yderligere privilegier, du kan blive afsløret. For at rydde op i tingene, forskerne udarbejdede en liste kaldet "Er jeg berørt”, der viser sårbare containerkonfigurationer og giver instruktioner om, hvordan man tester, om et containermiljø er i fare.
CVE-2022-0492 kan også tillade root-værtsprocesser uden kapacitet, eller ikke-root værtsprocesser med CAP_DAC_OVERRIDE-kapaciteten, at eskalere privilegier og opnå alle kapaciteter. Hvis dette sker, angribere bliver i stand til at omgå en hærdende foranstaltning, der anvendes af specifikke tjenester, droppe kapaciteter i et forsøg på at begrænse virkningen i tilfælde af et kompromis, Enhed 42 forklarede.
Den bedste anbefaling er at opgradere til en fast kerneversion. "For de der kører containere, aktiver Secomp og sørg for, at AppArmor eller SELinux er aktiveret. Prisma Cloud-brugere kan henvise til “Prisma skybeskyttelse” afsnit for de afhjælpninger, Prisma Cloud tilbyder,”Bemærkede rapporten.
Dette er den tredje kernefejl inden for de sidste par måneder, der tillader ondsindede beholdere at undslippe. I alle tre tilfælde, sikring af containere med Seccomp og enten AppArmor eller SELinux har været tilstrækkeligt til at forhindre containerflugt.
CVE-2021-43267 er et andet eksempel på en Linux-kernefejl, placeret i kernens gennemsigtige interproceskommunikation (TIPC). Fejlen kunne udnyttes både lokalt og eksternt, muliggør eksekvering af vilkårlig kode i kernen. Resultatet af dette ville være at overtage sårbare enheder.