Paar päeva tagasi uudis avaldati üksikasjad on selgunud haavatavus see leiti mehhanismi rakendamisel ressursside piiramine cgroup v1 Linuxi tuumas, mis on juba kataloogitud CVE-2022-0492 all.
See haavatavus leiti se saab kasutada isoleeritud konteineritest väljumiseks ja üksikasjalikult kirjeldatakse, et probleem on olnud alates Linuxi kernelist 2.6.24.
Blogipostituses on seda mainitud haavatavus on tingitud failitöötleja release_agent loogilisest veast, seega ei tehtud nõuetekohaseid kontrolle, kui draiverit käitati täielike lubadega.
faili Väljalaskeagent kasutatakse programmi määratlemiseks, mida kernel käivitab kui protsess lõpeb c-rühmaga. See programm töötab root nimeruumis kõigi "võimalustega" juurnimeruumis. Ainult administraatoril pidi olema juurdepääs release_agenti konfiguratsioonile, kuid tegelikkuses piirdusid kontrollid juurkasutajale juurdepääsu andmisega, mis ei välistanud konfiguratsiooni muutmist konteineris või mitteadministreeriva juurkasutaja poolt (CAP_SYS_ADMIN ) .
varem seda funktsiooni ei oleks peetud haavatavaks, kuid olukord on muutunud kasutajaidentifikaatorite nimeruumide (kasutaja nimeruumide) tulekuga, mis võimaldavad luua konteineritesse eraldi juurkasutajaid, mis ei kattu põhikeskkonna juurkasutajaga.
Järelikult rünnaku jaoks piisab konteinerist, millel on oma juurkasutaja eraldi kasutaja ID-ruumi, et ühendada oma release_agent töötleja, mis pärast protsessi lõppemist töötab kõigi emakeskkonna õigustega.
Vaikimisi on cgroupfs ühendatud kirjutuskaitstud konteinerisse, kuid pole probleemi selle pseudofailide uuesti ühendamisel kirjutusrežiimis CAP_SYS_ADMIN õigustega või eraldi kasutajanimeruumiga pesastatud konteineri loomisega, kasutades jagamise peatamise süsteemikutset, milles CAP_SYS_ADMIN õigused on loodud konteineri jaoks saadaval.
Rünnak seda saab teha root-õigustega isoleeritud konteineris või käivitades konteineri ilma lipuga no_new_priv, mis keelab täiendavate õiguste hankimise.
Süsteemis peab olema lubatud nimeruumide tugi kasutaja (vaikimisi lubatud Ubuntu ja Fedora puhul, kuid mitte Debiani ja RHEL-i puhul) ning tal on juurdepääs juur-v1 c-rühmale (näiteks Docker käitab konteinereid RDMA juur-c-rühmas). Rünnak on võimalik ka CAP_SYS_ADMIN privileegidega, sel juhul pole kasutajate nimeruumide tugi ja juurdepääs cgroup v1 juurhierarhiale vajalik.
Lisaks isoleeritud konteinerist väljamurdmisele võimaldab haavatavus ka protsesse, mille käivitab "võimekuseta" juurkasutaja või mõni CAP_DAC_OVERRIDE õigustega kasutaja (rünnak nõuab juurdepääsu /sys/fs/cgroup/*/release_agent failile, mille omanik on juur), et saada juurdepääs süsteemi kõikidele "võimalustele".
Lisaks konteineritele võib haavatavus lubada ka ilma võimalusteta juur-hostiprotsessidel või CAP_DAC_OVERRIDE-võimalusega mitte-juur-hostiprotsessidel suurendada privileege täielikele võimalustele. See võib võimaldada ründajatel mööda minna teatud teenuste poolt kasutatavast karastusmeetmest, mis eemaldab võimalused, püüdes kompromissi korral mõju piirata.
Üksus 42 soovitab kasutajatel uuendada fikseeritud tuuma versioonile. Konteinerite käitamiseks lubage Seccomp ja veenduge, et AppArmor või SELinux on lubatud. Prisma Cloudi kasutajad saavad vaadata jaotist „Prisma pilvekaitsed”, et näha Prisma Cloudi pakutavaid leevendusi.
Pange tähele, et haavatavust ei saa kasutada Seccompi, AppArmori või SELinuxi kaitsemehhanismide kasutamisel konteineri täiendavaks isoleerimiseks, kuna Seccomp blokeerib süsteemikutse unshare() ning AppArmor ja SELinux ei luba cgroupf-e kirjutusrežiimis paigaldada.
Lõpetuseks tasub mainida, et see parandati kerneli versioonides 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 ja 4.9.301. Saate jälgida paketivärskenduste avaldamist distributsioonides järgmistel lehtedel: Debian, SUSE, Ubuntu, RHEL, Fedora, Gentoo, Arch Linux.
Lõpuks kui olete huvitatud sellest rohkem teada saama, saate üksikasju vaadata järgmine link.