Uma nova vulnerabilidade de kernel Linux de alta gravidade pode ter sido abusada para escapar de um contêiner para executar comandos arbitrários no host. A vulnerabilidade é rastreada como CVE-2022-0492, e foi detalhado pela Unidade de Palo Alto 42 Pesquisadores de redes.
Bug do kernel Linux CVE-2022-0492 em detalhes
De acordo com o post de Palo Alto, “em fevereiro. 4, Linux anunciado CVE-2022-0492, uma nova vulnerabilidade de escalonamento de privilégios no kernel. CVE-2022-0492 marca um bug lógico nos grupos de controle (cgroups), um recurso do Linux que é um bloco de construção fundamental de contêineres.” Ressalta-se que a vulnerabilidade é considerada como uma das mais simples, bugs de escalonamento de privilégios do Linux descobertos recentemente. Em seu núcleo, o kernel Linux erroneamente expôs uma operação privilegiada para usuários não privilegiados, segundo o relatório.
A boa notícia é que as proteções de segurança padrão na maioria dos ambientes de contêiner são suficientes para impedir a fuga de contêiner. Mais especificamente, containers rodando com AppArmor ou SELinux são seguros. Caso você execute containers sem essas proteções ou com privilégios adicionais, você pode estar exposto. Para limpar as coisas, os pesquisadores compilaram uma lista chamada “Eu sou afetado” que mostra configurações de contêineres vulneráveis e fornece instruções sobre como testar se um ambiente de contêiner está em risco.
O CVE-2022-0492 também pode permitir processos de host raiz sem recursos, ou processos de host não raiz com o recurso CAP_DAC_OVERRIDE, para escalar privilégios e alcançar todos os recursos. Se isso acontecer, os invasores se tornam capazes de contornar uma medida de proteção utilizada por serviços específicos, descartando recursos na tentativa de limitar o impacto em caso de comprometimento, Unidade 42 explicado.
A melhor recomendação é atualizar para uma versão fixa do kernel. “Para aqueles que executam contêineres, habilite o Seccomp e certifique-se de que AppArmor ou SELinux estejam habilitados. Os usuários do Prisma Cloud podem consultar o “Proteções Prisma Cloud” seção para as mitigações fornecidas pelo Prisma Cloud,”O relatório observou.
Este é o terceiro bug do kernel nos últimos meses que permite que contêineres maliciosos escapem. Em todos os três casos, proteger contêineres com Seccomp e AppArmor ou SELinux foi suficiente para evitar a fuga de contêineres.
CVE-2021-43267 é outro exemplo de um bug do kernel do Linux, localizado no Kernel's Transparent Inter Process Communication (TIPC). A falha pode ser explorada local e remotamente, permitindo a execução arbitrária de código dentro do kernel. O resultado disso seria assumir o controle de dispositivos vulneráveis.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: