Eine neue schwere Linux-Kernel-Schwachstelle könnte missbraucht worden sein, um einem Container zu entkommen, um beliebige Befehle auf dem Host auszuführen. Die Schwachstelle wird als CVE-2022-0492 verfolgt, und wurde von der Palo Alto Unit detailliert beschrieben 42 Forscher vernetzen.
CVE-2022-0492 Linux-Kernel-Fehler im Detail
Laut Palo Altos Post, „am 2. 4, Linux hat CVE-2022-0492 angekündigt, eine neue Schwachstelle bezüglich Rechteausweitung im Kernel. CVE-2022-0492 markiert einen logischen Fehler in Kontrollgruppen (Gruppen), eine Linux-Funktion, die ein grundlegender Baustein von Containern ist.“ Es ist bemerkenswert, dass die Schwachstelle als eine der einfachsten angesehen wird, kürzlich entdeckte Linux Privilege Escalation Bugs. Im Kern, Der Linux-Kernel hat fälschlicherweise eine privilegierte Operation für nicht privilegierte Benutzer offengelegt, so der Bericht.
Die gute Nachricht ist, dass die standardmäßigen Sicherheitsvorkehrungen in den meisten Containerumgebungen ausreichen, um Container Escape zu verhindern. Genauer, Container, die mit AppArmor oder SELinux ausgeführt werden, sind sicher. Falls Sie Container ohne diese Schutzmaßnahmen oder mit zusätzlichen Berechtigungen ausführen, Sie können ausgesetzt werden. Dinge aufzuräumen, Die Forscher stellten eine Liste mit dem Titel „Bin ich betroffen“, das anfällige Containerkonfigurationen zeigt und Anweisungen gibt, wie getestet werden kann, ob eine Containerumgebung gefährdet ist.
CVE-2022-0492 kann auch Root-Host-Prozesse ohne Fähigkeiten zulassen, oder Nicht-Root-Host-Prozesse mit der CAP_DAC_OVERRIDE-Fähigkeit, Privilegien zu eskalieren und alle Fähigkeiten zu erreichen. Wenn dies geschieht,, Angreifer werden in die Lage versetzt, eine Sicherheitsmaßnahme zu umgehen, die von bestimmten Diensten verwendet wird, das Ablegen von Fähigkeiten, um die Auswirkungen im Falle einer Kompromittierung zu begrenzen, Einheit 42 erklärt.
Die beste Empfehlung ist ein Upgrade auf eine feste Kernel-Version. „Für diese laufenden Container, Aktivieren Sie Seccomp und stellen Sie sicher, dass AppArmor oder SELinux aktiviert sind. Prisma Cloud-Benutzer können auf die verweisen “Prisma Cloud-Schutz” Abschnitt für die von Prisma Cloud bereitgestellten Risikominderungen,”Stellte der Bericht fest.
Dies ist der dritte Kernel-Bug in den letzten Monaten, der das Entkommen bösartiger Container ermöglicht. In allen drei Fällen, Die Sicherung von Containern mit Seccomp und entweder AppArmor oder SELinux war ausreichend, um das Entkommen von Containern zu verhindern.
CVE-2021-43267 ist ein weiteres Beispiel für einen Fehler im Linux-Kernel, befindet sich in der Transparent Inter Process Communication des Kernels (TIPC). Der Fehler konnte sowohl lokal als auch remote ausgenutzt werden, erlaubt die Ausführung von beliebigem Code innerhalb des Kernels. Das Ergebnis wäre die Übernahme anfälliger Geräte.