CVE-2022-0492: 特権昇格Linuxカーネルの脆弱性

ホスト上で任意のコマンドを実行するために、新しい重大度の高いLinuxカーネルの脆弱性が悪用されてコンテナをエスケープした可能性があります. 脆弱性はCVE-2022-0492として追跡されています, パロアルトユニットによって詳細に説明されています 42 ネットワーク研究者.

CVE-2022-0492Linuxカーネルのバグの詳細

パロアルトの投稿によると, 「2月に. 4, LinuxはCVE-2022-0492を発表しました, カーネルの新しい特権昇格の脆弱性. CVE-2022-0492は、コントロールグループの論理的なバグを示しています (cgroups), コンテナの基本的な構成要素であるLinuxの機能。」脆弱性が最も単純なものの1つと見なされていることは注目に値します, 最近発見されたLinux特権昇格のバグ. その核心に, Linuxカーネルが誤って特権操作を非特権ユーザーに公開しました, レポートによると.

幸いなことに、ほとんどのコンテナ環境でのデフォルトのセキュリティ強化は、コンテナの脱出を防ぐのに十分です。. すなわち, AppArmorまたはSELinuxで実行されているコンテナーは安全です. これらの保護なしで、または追加の権限でコンテナを実行する場合, 露出する可能性があります. 物事を片付けるために, 研究者たちは「私は影響を受けていますか」は、脆弱なコンテナ構成を示し、コンテナ環境が危険にさらされているかどうかをテストする方法について説明しています。.

CVE-2022-0492は、機能のないルートホストプロセスを許可することもできます, またはCAP_DAC_OVERRIDE機能を備えた非ルートホストプロセス, 特権を昇格させ、すべての機能を実現する. これが発生した場合, 攻撃者は、特定のサービスで利用される強化策を回避できるようになります, 妥協した場合の影響を制限するために機能を削除する, 単位 42 説明.

最良の推奨事項は、固定カーネルバージョンにアップグレードすることです. 「コンテナを実行している人のために, Seccompを有効にし、AppArmorまたはSELinuxが有効になっていることを確認します. Prisma Cloudユーザーは、 “Prismaクラウド保護” PrismaCloudによって提供される緩和策のセクション,」と報告書は述べています.

これは、悪意のあるコンテナを脱出させる過去数か月の3番目のカーネルバグです。. 3つのケースすべてで, SeccompとAppArmorまたはSELinuxのいずれかでコンテナーを保護することで、コンテナーのエスケープを回避できます。.

CVE-2021-43267 Linuxカーネルのバグの別の例です, カーネルの透過的なプロセス間通信にあります (TIPC). この欠陥は、ローカルとリモートの両方で悪用される可能性があります, カーネル内での任意のコード実行を可能にする. この結果、脆弱なデバイスが乗っ取られます.