Пре неколико дана вест је објављена откривени су детаљи рањивост који је пронађен у имплементацији механизма ограничење ресурса цгроупс в1 у Линук кернелу који је већ каталогизован под ЦВЕ-2022-0492.
Ова рањивост је пронашла се се може користити за излазак из изолованих контејнера и детаљно је наведено да је проблем присутан од Линук кернела 2.6.24.
У блог посту се помиње да рањивост је последица логичке грешке у обрађивачу фајла релеасе_агент, тако да нису извршене одговарајуће провере када је управљачки програм покренут са пуним дозволама.
Датотека релеасе_агент се користи за дефинисање програма који кернел извршава када се процес заврши у цгрупи. Овај програм ради као роот са свим "способностима" у роот именском простору. Само администратор је требало да има приступ конфигурацији релеасе_агент-а, али у стварности, провере су биле ограничене на доделу приступа роот кориснику, што није спречавало промену конфигурације из контејнера или од стране неадминистративног роот корисника (ЦАП_СИС_АДМИН ) .
Раније ова карактеристика не би била схваћена као рањивост, али ситуација се променила појавом именских простора идентификатора корисника (корисничких именских простора), који вам омогућавају да креирате засебне роот кориснике у контејнерима који се не преклапају са роот корисником главног окружења.
Према томе за напад је довољно у контејнеру који има свог роот корисника у засебном простору за ИД корисника да бисте укључили ваш обрађивач релеасе_агент, који ће, када се процес заврши, радити са свим привилегијама родитељског окружења.
Подразумевано, цгроупфс се монтира у контејнер само за читање, али нема проблема да се поново монтирају ове псеудоф-ове у режиму писања са ЦАП_СИС_АДМИН правима или креирањем угнежђеног контејнера са засебним корисничким простором имена користећи системски позив за заустављање дељења, у којем права ЦАП_СИС_АДМИН су доступни креираном контејнеру.
Напад може да се уради тако што ћете имати роот привилегије у изолованом контејнеру или покретањем контејнера без ознаке но_нев_привс, што забрањује стицање додатних привилегија.
Систем мора имати омогућену подршку за именске просторе корисник (подразумевано омогућен на Убунту и Федори, али није омогућен на Дебиан-у и РХЕЛ-у) и има приступ основној в1 цгрупи (на пример, Доцкер покреће контејнере у РДМА основној цгрупи). Напад је такође могућ са привилегијама ЦАП_СИС_АДМИН, у ком случају није потребна подршка за корисничке просторе имена и приступ основној хијерархији цгроуп в1.
Поред пробоја из изолованог контејнера, рањивост такође дозвољава процесе које покреће роот корисник без "способности" или било који корисник са ЦАП_ДАЦ_ОВЕРРИДЕ правима (напад захтева приступ датотеци /сис/фс/цгроуп/*/релеасе_агент у власништву роот) да бисте добили приступ свим „могућностима“ система.
Осим контејнера, рањивост такође може дозволити роот процесима хоста без могућности или не-роот хост процесима са могућношћу ЦАП_ДАЦ_ОВЕРРИДЕ, да ескалирају привилегије до пуних могућности. Ово може омогућити нападачима да заобиђу меру очвршћавања коју користе одређене услуге, а које уклањају могућности у покушају да ограниче утицај ако дође до компромиса.
Јединица 42 препоручује корисницима надоградњу на фиксну верзију кернела. За те покренуте контејнере, омогућите Сеццомп и уверите се да су АппАрмор или СЕЛинук омогућени. Корисници Присма Цлоуд-а могу да погледају одељак „Присма Цлоуд Протецтионс“ да виде ублажавања које пружа Присма Цлоуд.
Имајте на уму да се рањивост не може искористити када се користе механизми заштите Сеццомп, АппАрмор или СЕЛинук за додатну изолацију контејнера, пошто Сеццомп блокира системски позив унсхаре(), а АппАрмор и СЕЛинук не дозвољавају монтирање цгроупф-ова у режиму писања.
На крају, вреди напоменути да је то поправљено у верзијама кернела 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 и 4.9.301. Објављивање ажурирања пакета у дистрибуцијама можете пратити на овим страницама: Дебиан, СУСЕ, убунту, РХЕЛ, федора, Гентоо, Арцх Линук.
Коначно ако сте заинтересовани да сазнате више о томе, детаље можете погледати у следећи линк.