Kubernetes konteyner motoru CRI-O’da yeni açıklanan bir güvenlik açığı: cr8escape bir saldırgan tarafından kapsayıcılardan çıkmak ve ana bilgisayara kök erişimi sağlamak için kullanılabilir.
CrowdStrike araştırmacıları John Walker ve Manoj Ahuje, “CVE-2022-0811’in çağrılması, bir saldırganın, kötü amaçlı yazılım yürütme, verilerin sızdırılması ve bölmeler arasında yanal hareket dahil olmak üzere hedefler üzerinde çeşitli eylemler gerçekleştirmesine izin verebilir.” dedim Bu hafta yayınlanan bir analizde.
Docker’a hafif bir alternatif, CRI-O bir kapsayıcı çalışma zamanı Kayıtlardan kapsayıcı görüntülerini çekmek ve bir Açık Kapsayıcı Girişimi başlatmak için kullanılan Kubernetes Kapsayıcı Çalışma Zamanı Arabirimi’nin (CRI) uygulanması (OCI)-container işlemlerini başlatmak ve çalıştırmak için runC gibi uyumlu çalışma zamanı.
Güvenlik açığı, CVSS güvenlik açığı puanlama sisteminde 8.8 olarak derecelendirilmiştir ve CRI-O 1.19 ve sonraki sürümlerini etkiler. Sorumlu açıklamanın ardından, kusuru gidermek için yamalar yayınlandı. sürüm 1.23.2 15 Mart 2022 tarihinde gönderildi.
CVE-2022-0811, bir kod değişikliği 1.19 sürümünde, bir bölme için çekirdek seçeneklerini ayarlamak için tanıtıldı; bu, CRI-O çalışma zamanını kullanarak bir Kubernetes kümesinde bir bölmeyi dağıtma izinlerine sahip kötü bir aktörün “kernel.core_pattern” kümedeki herhangi bir düğümde kök olarak kapsayıcıdan kaçış ve rastgele kod yürütme elde etmek için parametre.
“kernel.core_pattern” parametresi, bir model adı belirtmek için kullanılır. çekirdek dökümütipik olarak beklenmeyen çökmelere yanıt olarak veya işlem anormal bir şekilde sona erdiğinde etkinleştirilen, belirli bir zamanda bir programın bellek anlık görüntüsünü içeren bir dosyadır.
“Desenin ilk karakteri bir ‘|’ ise [a pipe], çekirdek, kalıbın geri kalanını çalıştırılacak bir komut olarak değerlendirir. Çekirdek dökümü, bir dosya yerine o programın standart girdisine yazılacaktır” Linux çekirdeği belgeleri.
Bu nedenle, bu seçeneği kötü amaçlı bir kabuk komut dosyasına işaret edecek ve bir çekirdek dökümünü tetikleyecek şekilde ayarlayarak, güvenlik açığı komut dosyasının çağrılmasına yol açar, etkin bir şekilde uzaktan kod yürütmeyi gerçekleştirir ve düşmana düğümü devralma yeteneği verir.
Araştırmacılar, “CVE-2022-8011’i çağırmak için Kubernetes gerekli değil” dedi. “CRI-O’nun kurulu olduğu bir makinedeki bir saldırgan, çekirdek parametrelerini tek başına ayarlamak için bunu kullanabilir.”