Una nuova vulnerabilità del kernel Linux ad alta gravità potrebbe essere stata sfruttata per sfuggire a un contenitore al fine di eseguire comandi arbitrari sull'host. La vulnerabilità è tracciata come CVE-2022-0492, ed è stato dettagliato dall'Unità di Palo Alto 42 Ricercatori di reti.
CVE-2022-0492 Bug del kernel Linux in dettaglio
Secondo il post di Palo Alto, “a febbraio. 4, Linux ha annunciato CVE-2022-0492, una nuova vulnerabilità di escalation dei privilegi nel kernel. CVE-2022-0492 segnala un bug logico nei gruppi di controllo (cgroup), una funzionalità di Linux che è un elemento costitutivo fondamentale dei container". È interessante notare che la vulnerabilità è considerata una delle più semplici, bug di escalation dei privilegi di Linux recentemente scoperti. Al suo centro, il kernel Linux ha esposto erroneamente un'operazione privilegiata a utenti non privilegiati, dice il rapporto.
La buona notizia è che il rafforzamento della sicurezza predefinito nella maggior parte degli ambienti container è sufficiente per impedire la fuga del container. Più specificamente, i contenitori in esecuzione con AppArmor o SELinux sono sicuri. Nel caso in cui si eseguano contenitori senza queste protezioni o con privilegi aggiuntivi, potresti essere esposto. Per chiarire le cose, i ricercatori hanno compilato una lista chiamata “Sono interessato” che mostra le configurazioni dei container vulnerabili e fornisce istruzioni su come verificare se un ambiente container è a rischio.
CVE-2022-0492 può anche consentire processi host root senza funzionalità, o processi host non root con la capacità CAP_DAC_OVERRIDE, per aumentare i privilegi e ottenere tutte le capacità. Se questo accade, gli aggressori diventano in grado di aggirare una misura di rafforzamento utilizzata da servizi specifici, capacità di caduta nel tentativo di limitare l'impatto in caso di compromissione, Unità 42 ha spiegato.
La migliore raccomandazione è l'aggiornamento a una versione fissa del kernel. “Per coloro che gestiscono container, abilitare Seccomp e assicurarsi che AppArmor o SELinux siano abilitati. Gli utenti di Prisma Cloud possono fare riferimento a “Protezioni Prisma Cloud” sezione per le mitigazioni fornite da Prisma Cloud,"Osserva il rapporto.
Questo è il terzo bug del kernel negli ultimi mesi che consente la fuga di contenitori dannosi. In tutti e tre i casi, proteggere i container con Seccomp e AppArmor o SELinux è stato sufficiente per evitare la fuga dei container.
CVE-2021-43267 è un altro esempio di bug del kernel Linux, che si trova nella comunicazione trasparente tra i processi del kernel (SUGGERIMENTO). Il difetto potrebbe essere sfruttato sia in locale che in remoto, consentendo l'esecuzione di codice arbitrario all'interno del kernel. Il risultato sarebbe l'acquisizione di dispositivi vulnerabili.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: