Une nouvelle vulnérabilité du noyau Linux à haute gravité aurait pu être exploitée pour échapper à un conteneur afin d'exécuter des commandes arbitraires sur l'hôte. La vulnérabilité est suivie comme CVE-2022-0492, et a été détaillée par Palo Alto Unit 42 Chercheurs des réseaux.
CVE-2022-0492 Bogue du noyau Linux en détail
D'après le post de Palo Alto, "le février. 4, Linux a annoncé CVE-2022-0492, une nouvelle vulnérabilité d'élévation de privilèges dans le noyau. CVE-2022-0492 marque un bogue logique dans les groupes de contrôle (groupes de contrôle), une fonctionnalité Linux qui est un élément fondamental des conteneurs. Il est à noter que la vulnérabilité est considérée comme l'une des plus simples, bogues d'escalade de privilèges Linux récemment découverts. En son coeur, le noyau Linux a exposé par erreur une opération privilégiée à des utilisateurs non privilégiés, le rapport.
La bonne nouvelle est que les renforcements de sécurité par défaut dans la plupart des environnements de conteneurs sont suffisants pour empêcher les conteneurs de s'échapper.. Plus précisement, les conteneurs fonctionnant avec AppArmor ou SELinux sont sûrs. Si vous exécutez des conteneurs sans ces protections ou avec des privilèges supplémentaires, vous pouvez être exposé. Pour clarifier les choses, les chercheurs ont compilé une liste appelée «Suis-je affecté" qui montre les configurations de conteneurs vulnérables et donne des instructions sur la façon de tester si un environnement de conteneur est à risque.
CVE-2022-0492 peut également autoriser les processus hôtes racine sans fonctionnalités, ou processus hôtes non root avec la capacité CAP_DAC_OVERRIDE, pour élever les privilèges et atteindre toutes les capacités. Si cela se produit,, les attaquants deviennent capables de contourner une mesure de renforcement utilisée par des services spécifiques, abandonner les capacités pour tenter de limiter l'impact en cas de compromission, Unité 42 expliqué.
La meilleure recommandation est de passer à une version fixe du noyau. "Pour ceux qui gèrent des conteneurs, activez Seccomp et assurez-vous que AppArmor ou SELinux sont activés. Les utilisateurs de Prisma Cloud peuvent consulter le “Protections cloud Prisma” section pour les atténuations fournies par Prisma Cloud,»Le rapport note.
Il s'agit du troisième bogue du noyau au cours des derniers mois qui permet à des conteneurs malveillants de s'échapper. Dans les trois cas, la sécurisation des conteneurs avec Seccomp et AppArmor ou SELinux a été suffisante pour éviter la fuite des conteneurs.
CVE-2021-43267 est un autre exemple de bogue du noyau Linux, situé dans la communication inter-processus transparente du noyau (TIPC). La faille pourrait être exploitée à la fois localement et à distance, permettant l'exécution de code arbitraire dans le noyau. Le résultat serait la prise en charge des appareils vulnérables.