Een nieuwe zeer ernstige kwetsbaarheid van de Linux-kernel zou kunnen zijn misbruikt om uit een container te ontsnappen om willekeurige opdrachten op de host uit te voeren. De kwetsbaarheid wordt bijgehouden als CVE-2022-0492, en is gedetailleerd door Palo Alto Unit 42 Netwerkonderzoekers.
CVE-2022-0492 Linux Kernel-bug in detail
Volgens de post van Palo Alto, “op feb. 4, Linux aangekondigd CVE-2022-0492, een nieuwe kwetsbaarheid voor escalatie van bevoegdheden in de kernel. CVE-2022-0492 markeert een logische fout in controlegroepen (cgroups), een Linux-functie die een fundamentele bouwsteen is van containers.” Het is opmerkelijk dat de kwetsbaarheid wordt beschouwd als een van de eenvoudigste, onlangs ontdekte bugs voor escalatie van Linux-privileges. In de kern, de Linux-kernel heeft ten onrechte een bevoorrechte bewerking aan onbevoegde gebruikers blootgesteld, aldus het rapport.
Het goede nieuws is dat de standaard beveiligingsverhardingen in de meeste containeromgevingen voldoende zijn om ontsnapping van containers te voorkomen. Specifieker, containers die draaien met AppArmor of SELinux zijn veilig. Als u containers uitvoert zonder deze рbeveiligingen of met extra privileges, je kunt worden blootgesteld. Om dingen op te ruimen, de onderzoekers stelden een lijst samen met de naam “Ben ik beïnvloed?” dat kwetsbare containerconfiguraties toont en instructies geeft om te testen of een containeromgeving gevaar loopt.
CVE-2022-0492 kan ook root-hostprocessen zonder mogelijkheden toestaan, of niet-root-hostprocessen met de CAP_DAC_OVERRIDE-mogelijkheid, om privileges te escaleren en alle mogelijkheden te bereiken. Als dit gebeurt, aanvallers kunnen een verhardingsmaatregel omzeilen die door specifieke services wordt gebruikt, mogelijkheden laten vallen in een poging de impact te beperken in geval van een compromis, Eenheid 42 toegelicht.
De beste aanbeveling is upgraden naar een vaste kernelversie. “Voor degenen die containers draaien, schakel Seccomp in en zorg ervoor dat AppArmor of SELinux zijn ingeschakeld. Prisma Cloud-gebruikers kunnen verwijzen naar de “Prisma Cloud-beveiligingen” sectie voor de oplossingen die worden geboden door Prisma Cloud,'Merkte het rapport op.
Dit is de derde kernelbug in de afgelopen maanden waardoor kwaadaardige containers kunnen ontsnappen. In alle drie de gevallen, het beveiligen van containers met Seccomp en AppArmor of SELinux was voldoende om ontsnapping van containers te voorkomen.
CVE-2021-43267 is een ander voorbeeld van een Linux-kernelbug, bevindt zich in de transparante interprocescommunicatie van de kernel (TIPC). De fout kan zowel lokaal als op afstand worden uitgebuit, uitvoering van willekeurige code mogelijk maken binnen de kernel. Het resultaat hiervan zou kwetsbare apparaten overnemen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: