Des d\u00e9tails sont apparus sur une vuln\u00e9rabilit\u00e9 de haute gravit\u00e9 d\u00e9sormais corrig\u00e9e dans le noyau Linux qui pourrait potentiellement \u00eatre utilis\u00e9e pour \u00e9chapper \u00e0 un conteneur afin d’ex\u00e9cuter des commandes arbitraires sur l’h\u00f4te du conteneur.<\/p>\n
La lacune r\u00e9side dans une fonctionnalit\u00e9 du noyau Linux appel\u00e9e groupes de contr\u00f4le<\/a>\u00e9galement appel\u00e9 cgroups version 1 (v1), qui permet d’organiser les processus en groupes hi\u00e9rarchiques, ce qui permet de limiter et de surveiller efficacement l’utilisation des ressources telles que le processeur, la m\u00e9moire, les E\/S disque et le r\u00e9seau.<\/p>\n Suivi comme CVE-2022-0492<\/a> (score CVSS : 7,0), la publier<\/a> pr\u00e9occupations<\/a> une Cas<\/a> de \u00e9l\u00e9vation de privil\u00e8ges<\/a> dans la fonctionnalit\u00e9 release_agent de cgroups v1, un script qui est ex\u00e9cut\u00e9 apr\u00e8s l’arr\u00eat de tout processus dans le cgroup.<\/p>\n “Le probl\u00e8me se distingue comme l’une des escalades de privil\u00e8ges Linux les plus simples d\u00e9couvertes ces derniers temps\u00a0: le noyau Linux a expos\u00e9 par erreur une op\u00e9ration privil\u00e9gi\u00e9e \u00e0 des utilisateurs non privil\u00e9gi\u00e9s”, a d\u00e9clar\u00e9 Yuval Avrahami, chercheur \u00e0 l’unit\u00e9 42. mentionn\u00e9<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n le page de manuel<\/a> for cgroups explique sa fonction comme suit –<\/p>\n Que le programme release_agent soit appel\u00e9 ou non lorsqu’un groupe de contr\u00f4le particulier devient vide est d\u00e9termin\u00e9 par la valeur du fichier notify_on_release dans le r\u00e9pertoire de groupe de contr\u00f4le correspondant. Si ce fichier contient la valeur 0, le programme release_agent n’est pas invoqu\u00e9. S’il contient la valeur 1, le programme release_agent est appel\u00e9. La valeur par d\u00e9faut pour ce fichier dans le cgroup racine est 0.<\/em><\/p>\n Plus pr\u00e9cis\u00e9ment, l’\u00e9quipe de renseignement sur les menaces de Palo Alto Networks a not\u00e9 que le bogue est la cons\u00e9quence d’une v\u00e9rification manquante pour v\u00e9rifier si le processus d\u00e9finissant le fichier release_agent avait des privil\u00e8ges administratifs, le rendant ainsi m\u00fbr pour une exploitation potentielle.<\/p>\n En d’autres termes, si ce fichier release_agent est \u00e9cras\u00e9 par un attaquant, le noyau peut \u00eatre contraint d’appeler un binaire arbitraire configur\u00e9 dans l’agent de publication avec les autorisations les plus \u00e9lev\u00e9es possibles – un sc\u00e9nario qui pourrait effectivement permettre une prise de contr\u00f4le compl\u00e8te de la machine.<\/p>\n Il convient toutefois de noter que seuls les processus dot\u00e9s de privil\u00e8ges “root” peuvent \u00e9crire dans le fichier, ce qui signifie que la vuln\u00e9rabilit\u00e9 permet uniquement aux processus root d’\u00e9lever les privil\u00e8ges.<\/p>\n “A premi\u00e8re vue, une vuln\u00e9rabilit\u00e9 d’escalade de privil\u00e8ges qui ne peut \u00eatre exploit\u00e9e que par l’utilisateur root peut sembler bizarre”, a expliqu\u00e9 Avrahami. “L’ex\u00e9cution en tant que root ne signifie pas n\u00e9cessairement un contr\u00f4le total sur la machine\u00a0: il existe une zone grise entre l’utilisateur root et les privil\u00e8ges complets qui incluent les capacit\u00e9s, les espaces de noms et les conteneurs. Dans ces sc\u00e9narios o\u00f9 un processus root n’a pas le contr\u00f4le total sur la machine , CVE-2022-0492 devient une vuln\u00e9rabilit\u00e9 s\u00e9rieuse.”<\/p>\n Bien que les conteneurs fonctionnant avec AppArmor<\/a> ou SELinux<\/a> sont prot\u00e9g\u00e9s de la faille, il est recommand\u00e9 aux utilisateurs de appliquer<\/a> la correctifs<\/a> \u00e0 la lumi\u00e8re du fait qu’il pourrait \u00eatre exploit\u00e9 par d’autres processus h\u00f4tes malveillants pour \u00e9lever les privil\u00e8ges.<\/p>\n C’est loin d’\u00eatre la premi\u00e8re fois que release_agent appara\u00eet comme un vecteur d’attaque. En juillet 2017, le chercheur de Google Project Zero Felix Wilhelm d\u00e9montr\u00e9<\/a> un exploit de preuve de concept (PoC) “rapide et sale” tirant parti de la fonctionnalit\u00e9 pour sortir des conteneurs Kubernetes et Docker privil\u00e9gi\u00e9s.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/TrickBot-Gang-est-susceptible-de-modifier-ses-operations-pour-passer.png\")
<\/a><\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646326908_645_Correctifs-critiques-publies-pour-la-gamme-Cisco-Expressway-les-produits.jpeg\")
<\/a><\/div>\n