कुछ दिनों पहले खबर प्रकाशित हो चुकी है। विवरण सामने आया है एक भेद्यता वह पाया गया तंत्र के कार्यान्वयन में संसाधन सीमा सीग्रुप्स v1 लिनक्स कर्नेल में जो पहले से ही CVE-2022-0492 के तहत सूचीबद्ध है।
यह भेद्यता मिलीई पृथक कंटेनरों से बाहर निकलने के लिए इस्तेमाल किया जा सकता है और यह विस्तृत है कि समस्या Linux कर्नेल 2.6.24 के बाद से मौजूद है।
ब्लॉग पोस्ट में यह उल्लेख किया गया है कि रिलीज़_एजेंट फ़ाइल हैंडलर में तार्किक त्रुटि के कारण भेद्यता है, इसलिए जब ड्राइवर को पूर्ण अनुमति के साथ चलाया गया था तो उचित जाँच नहीं की गई थी।
फ़ाइल रिलीज_एजेंट का उपयोग उस प्रोग्राम को परिभाषित करने के लिए किया जाता है जिसे कर्नेल निष्पादित करता है जब कोई प्रक्रिया cgroup में समाप्त होती है। यह प्रोग्राम रूट नेमस्पेस में सभी "क्षमता" के साथ रूट के रूप में चलता है। केवल व्यवस्थापक के पास रिलीज़_एजेंट कॉन्फ़िगरेशन तक पहुंच होनी चाहिए, लेकिन वास्तव में, चेक रूट उपयोगकर्ता तक पहुंच प्रदान करने तक सीमित थे, जो कंटेनर से या गैर-प्रशासनिक रूट उपयोगकर्ता (CAP_SYS_ADMIN) द्वारा कॉन्फ़िगरेशन को बदलने से नहीं रोकता था। .
पहले से, इस सुविधा को भेद्यता के रूप में नहीं माना जाएगा, लेकिन उपयोगकर्ता पहचानकर्ता नामस्थान (उपयोगकर्ता नामस्थान) के आगमन के साथ स्थिति बदल गई है, जो आपको कंटेनरों में अलग रूट उपयोगकर्ता बनाने की अनुमति देती है जो मुख्य वातावरण के मूल उपयोगकर्ता के साथ ओवरलैप नहीं करते हैं।
तदनुसार, एक हमले के लिए, यह एक कंटेनर में पर्याप्त है जिसका अपना मूल उपयोगकर्ता है अपने रिलीज_एजेंट हैंडलर में प्लग इन करने के लिए एक अलग यूजर आईडी स्पेस में, जो एक बार प्रक्रिया पूरी होने के बाद, मूल वातावरण के सभी विशेषाधिकारों के साथ चलेगा।
डिफ़ॉल्ट रूप से, cgroupfs को केवल-पढ़ने के लिए कंटेनर में माउंट किया जाता है, लेकिन इस छद्म को CAP_SYS_ADMIN अधिकारों के साथ लेखन मोड में रिमाउंट करने या स्टॉप शेयरिंग के लिए सिस्टम कॉल का उपयोग करके एक अलग उपयोगकर्ता नाम स्थान के साथ एक नेस्टेड कंटेनर बनाकर कोई समस्या नहीं है, जिसमें CAP_SYS_ADMIN अधिकार बनाए गए कंटेनर के लिए उपलब्ध हैं।
हमला एक अलग कंटेनर में रूट विशेषाधिकार होने से किया जा सकता है या बिना no_new_privs ध्वज के कंटेनर चलाकर, जो अतिरिक्त विशेषाधिकार प्राप्त करने पर रोक लगाता है।
सिस्टम के पास नामस्थान सक्षम होने के लिए समर्थन होना चाहिए उपयोगकर्ता (उबंटू और फेडोरा पर डिफ़ॉल्ट रूप से सक्षम है, लेकिन डेबियन और आरएचईएल पर सक्षम नहीं है) और रूट v1 cgroup तक पहुंच है (उदाहरण के लिए, डॉकर आरडीएमए रूट सीग्रुप में कंटेनर चलाता है)। CAP_SYS_ADMIN विशेषाधिकारों के साथ भी हमला संभव है, इस मामले में उपयोगकर्ता नामस्थानों के लिए समर्थन और cgroup v1 के रूट पदानुक्रम तक पहुंच की आवश्यकता नहीं है।
पृथक कंटेनर से बाहर निकलने के अलावा, भेद्यता रूट उपयोगकर्ता द्वारा "क्षमता" के बिना या CAP_DAC_OVERRIDE अधिकारों के साथ किसी भी उपयोगकर्ता द्वारा शुरू की गई प्रक्रियाओं को भी अनुमति देती है (हमले के लिए /sys/fs/cgroup/*/release_agent फ़ाइल के स्वामित्व की आवश्यकता होती है। रूट) सिस्टम की सभी "क्षमताओं" तक पहुंच प्राप्त करने के लिए।
कंटेनरों के अलावा, भेद्यता क्षमताओं के बिना रूट होस्ट प्रक्रियाओं, या CAP_DAC_OVERRIDE क्षमता के साथ गैर-रूट होस्ट प्रक्रियाओं को विशेषाधिकारों को पूर्ण क्षमताओं तक बढ़ाने की अनुमति दे सकती है। यह हमलावरों को कुछ सेवाओं द्वारा उपयोग किए जाने वाले सख्त उपाय को बायपास करने की अनुमति दे सकता है, जो समझौता होने पर प्रभाव को सीमित करने के प्रयास में क्षमताओं को हटा देता है।
यूनिट 42 अनुशंसा करता है कि उपयोगकर्ता एक निश्चित कर्नेल संस्करण में अपग्रेड करें। कंटेनर चलाने वालों के लिए, Seccomp को सक्षम करें और सुनिश्चित करें कि AppArmor या SELinux सक्षम है। प्रिज्मा क्लाउड उपयोगकर्ता प्रिज्मा क्लाउड द्वारा प्रदान किए गए न्यूनीकरण को देखने के लिए "प्रिज्मा क्लाउड प्रोटेक्शन" अनुभाग का उल्लेख कर सकते हैं।
ध्यान दें कि अतिरिक्त कंटेनर अलगाव के लिए Seccomp, AppArmor या SELinux सुरक्षा तंत्र का उपयोग करते समय भेद्यता का फायदा नहीं उठाया जा सकता है, क्योंकि Seccomp अनशेयर () सिस्टम कॉल को ब्लॉक करता है और AppArmor और SELinux cgroupfs को राइट मोड में माउंट करने की अनुमति नहीं देते हैं।
अंत में, यह उल्लेखनीय है कि यह कर्नेल संस्करण 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 और 4.9.301 में तय किया गया था। आप इन पृष्ठों पर वितरण में पैकेज अद्यतनों के जारी होने का अनुसरण कर सकते हैं: डेबियन, SUSE, Ubuntu, RHEL, फेडोरा, Gentoo, आर्क लिनक्स.
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप में विवरण देख सकते हैं निम्नलिखित लिंक।