Một lỗ hổng bảo mật mới được tiết lộ trong công cụ container Kubernetes CRI-O được gọi là cr8escape có thể bị kẻ tấn công lợi dụng để thoát ra khỏi vùng chứa và lấy quyền truy cập root vào máy chủ.
“Việc mời CVE-2022-0811 có thể cho phép kẻ tấn công thực hiện nhiều hành động khác nhau đối với các mục tiêu, bao gồm thực thi phần mềm độc hại, lấy cắp dữ liệu và chuyển động ngang qua các nhóm”, các nhà nghiên cứu của CrowdStrike John Walker và Manoj Ahuje cho biết trong một phân tích được công bố. tuần.
Một giải pháp thay thế nhẹ cho Docker, CRI-O là một triển khai thời gian chạy vùng chứa của Giao diện thời gian chạy vùng chứa Kubernetes (CRI) được sử dụng để kéo hình ảnh vùng chứa từ các đăng ký và khởi chạy thời gian chạy tương thích với Sáng kiến vùng chứa mở (OCI) chẳng hạn như runC để sinh sản và chạy các quy trình container.
Lỗ hổng được đánh giá 8,8 trên hệ thống chấm điểm lỗ hổng CVSS và ảnh hưởng đến CRI-O phiên bản 1.19 trở lên. Theo tiết lộ có trách nhiệm, các bản vá lỗi đã được phát hành để giải quyết lỗ hổng trong phiên bản 1.23.2 được xuất xưởng vào ngày 15 tháng 3 năm 2022.
CVE-2022-0811 bắt nguồn từ sự thay đổi mã được giới thiệu trong phiên bản 1.19 để đặt các tùy chọn hạt nhân cho một nhóm, dẫn đến tình huống trong đó một tác nhân xấu có quyền triển khai một nhóm trên một cụm Kubernetes sử dụng thời gian chạy CRI-O có thể lợi dụng tham số “kernel.core_pattern” để đạt được thoát vùng chứa và thực thi mã tùy ý với tư cách gốc trên bất kỳ nút nào trong cụm.
Tham số “kernel.core_pattern” được sử dụng để chỉ định tên mẫu cho kết xuất lõi, là tệp chứa ảnh chụp nhanh bộ nhớ của một chương trình tại một thời điểm cụ thể thường được kích hoạt để phản ứng với sự cố không mong muốn hoặc khi quá trình kết thúc bất thường.
“Nếu ký tự đầu tiên của mẫu là ‘|' [a pipe], hạt nhân sẽ coi phần còn lại của mẫu như một lệnh để chạy. Kết xuất lõi sẽ được ghi vào đầu vào chuẩn của chương trình đó thay vì vào một tệp “, đọc tài liệu về nhân Linux.
Do đó, bằng cách thiết lập tùy chọn này để trỏ đến một tập lệnh shell độc hại và kích hoạt một kết xuất lõi, lỗ hổng dẫn đến việc gọi tập lệnh, đạt được hiệu quả thực thi mã từ xa và cấp cho kẻ thù khả năng chiếm lấy nút.
“Kubernetes không cần thiết phải gọi CVE-2022-8011”, các nhà nghiên cứu chỉ ra. “Kẻ tấn công trên một máy được cài đặt CRI-O có thể sử dụng nó để tự thiết lập các tham số hạt nhân.”
.
