Birkaç gün önce haberler yayınlandı detaylar ortaya çıktı bir güvenlik açığı bulunan mekanizmanın uygulanmasında kaynak sınırlaması gruplar v1 zaten CVE-2022-0492 altında kataloglanmış olan Linux çekirdeğinde.
Bu güvenlik açığı bulundue izole kaplardan çıkmak için kullanılabilir ve sorunun Linux çekirdeği 2.6.24'ten beri mevcut olduğu ayrıntılı olarak açıklanmıştır.
Blog yazısında bundan bahsediliyor güvenlik açığı, release_agent dosya işleyicisindeki mantıksal bir hatadan kaynaklanıyor, bu nedenle sürücü tam izinlerle çalıştırıldığında uygun kontroller yapılmadı.
dosya Release_agent, çekirdeğin yürüttüğü programı tanımlamak için kullanılır cgroup'ta bir süreç sona erdiğinde. Bu program, kök ad alanındaki tüm "yetenekler" ile kök olarak çalışır. Release_agent yapılandırmasına yalnızca yöneticinin erişimi olması gerekiyordu, ancak gerçekte, kontroller kök kullanıcıya erişim vermekle sınırlıydı ve bu, yapılandırmanın kapsayıcıdan veya yönetici olmayan kök kullanıcı tarafından değiştirilmesini engellemedi (CAP_SYS_ADMIN ) .
Önceden, bu özellik bir güvenlik açığı olarak algılanmazdı, ancak ana ortamın kök kullanıcısıyla çakışmayan kapsayıcılarda ayrı kök kullanıcılar oluşturmanıza olanak tanıyan kullanıcı tanımlayıcı ad alanlarının (kullanıcı ad alanları) ortaya çıkmasıyla durum değişti.
Bu duruma göre, bir saldırı için, kendi kök kullanıcısına sahip bir kapsayıcıda yeterlidir. ayrı bir kullanıcı kimliği alanında, işlem tamamlandıktan sonra ana ortamın tüm ayrıcalıklarıyla çalışacak olan release_agent işleyicinizi takmak için.
Varsayılan olarak, cgroupfs salt okunur bir kapsayıcıya takılır, ancak bu sözde kimlikleri CAP_SYS_ADMIN haklarıyla yazma modunda veya paylaşım için durdurma sistem çağrısını kullanarak ayrı bir kullanıcı ad alanına sahip yuvalanmış bir kap oluşturarak yeniden monte etmede herhangi bir sorun yoktur; burada CAP_SYS_ADMIN hakları oluşturulan kapsayıcı için kullanılabilir.
Saldırı izole bir kapta kök ayrıcalıklarına sahip olarak yapılabilir veya kapsayıcıyı no_new_privs bayrağı olmadan çalıştırarak, bu da ek ayrıcalıkların kazanılmasını engeller.
Sistem, etkin ad alanları desteğine sahip olmalıdır kullanıcı (Ubuntu ve Fedora'da varsayılan olarak etkindir, ancak Debian ve RHEL'de etkin değildir) ve kök v1 grubuna erişime sahiptir (örneğin, Docker, RDMA kök grubunda kapsayıcıları çalıştırır). Saldırı, CAP_SYS_ADMIN ayrıcalıklarıyla da mümkündür, bu durumda kullanıcı ad alanları için destek ve cgroup v1'in kök hiyerarşisine erişim gerekli değildir.
Güvenlik açığı, yalıtılmış kapsayıcıyı kırmaya ek olarak, "yeteneği" olmayan kök kullanıcı veya CAP_DAC_OVERRIDE haklarına sahip herhangi bir kullanıcı tarafından başlatılan işlemlere de izin verir (saldırı, kullanıcının sahip olduğu /sys/fs/cgroup/*/release_agent dosyasına erişim gerektirir). root) sistemin tüm "yeteneklerine" erişim elde etmek için.
Güvenlik açığı, kapsayıcıların yanı sıra, yeteneksiz kök ana bilgisayar işlemlerinin veya CAP_DAC_OVERRIDE özelliğine sahip kök olmayan ana bilgisayar işlemlerinin ayrıcalıkları tam yeteneklere yükseltmesine de izin verebilir. Bu, saldırganların, belirli hizmetler tarafından kullanılan ve bir güvenlik açığı oluştuğunda etkiyi sınırlamak amacıyla yetenekleri ortadan kaldıran bir sıkılaştırma önlemini atlamalarına izin verebilir.
Unit 42, kullanıcıların sabit bir çekirdek sürümüne yükseltmelerini önerir. Kapsayıcıları çalıştıranlar için Seccomp'u etkinleştirin ve AppArmor veya SELinux'un etkinleştirildiğinden emin olun. Prisma Cloud kullanıcıları, Prisma Cloud tarafından sağlanan azaltmaları görmek için “Prisma Bulut Korumaları” bölümüne başvurabilir.
Seccomp unshare() sistem çağrısını engellediğinden ve AppArmor ve SELinux, cgroupf'lerin yazma modunda bağlanmasına izin vermediğinden, ek kapsayıcı yalıtımı için Seccomp, AppArmor veya SELinux koruma mekanizmaları kullanılırken güvenlik açığından yararlanılamayacağını unutmayın.
Son olarak 5.16.12, 5.15.26, 5.10.97, 5.4.177, 4.19.229, 4.14.266 ve 4.9.301 kernel sürümlerinde düzeltildiğini belirtmekte fayda var. Paket güncellemelerinin dağıtımlarını şu sayfalardan takip edebilirsiniz: Debian, SUSE, Ubuntu, RHEL, Fötr şapka, Gentoo, Arch Linux.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntılarını kontrol edebilirsiniz. aşağıdaki bağlantı.