Er zijn details naar voren gekomen over een nu gepatchte, zeer ernstige kwetsbaarheid in de Linux-kernel die mogelijk kan worden misbruikt om uit een container te ontsnappen en willekeurige opdrachten op de containerhost uit te voeren.
De tekortkoming zit in een Linux-kernelfunctie genaamd controlegroepenook wel cgroups versie 1 (v1) genoemd, waarmee processen in hiërarchische groepen kunnen worden georganiseerd, waardoor het effectief mogelijk wordt om het gebruik van bronnen zoals CPU, geheugen, schijf-I/O en netwerk te beperken en te bewaken.
Bijgehouden als CVE-2022-0492 (CVSS-score: 7,0), de probleem zorgen een geval van privilege escalatie in de cgroup v1 release_agent functionaliteit, een script dat wordt uitgevoerd na de beëindiging van een proces in de cgroup.
“Het probleem valt op als een van de eenvoudigste escalaties van Linux-privileges die de afgelopen tijd zijn ontdekt: de Linux-kernel heeft ten onrechte een bevoorrechte bewerking aan onbevoorrechte gebruikers blootgesteld”, Yuval Avrahami, onderzoeker van Unit 42. zei in een rapport dat deze week is gepubliceerd.
De man pagina for cgroups legt zijn functie als volgt uit –
Of het release_agent-programma al dan niet wordt aangeroepen wanneer een bepaalde cgroup leeg raakt, wordt bepaald door de waarde in het notify_on_release-bestand in de corresponderende cgroup-directory. Als dit bestand de waarde 0 bevat, wordt het programma release_agent niet aangeroepen. Als het de waarde 1 bevat, wordt het programma release_agent aangeroepen. De standaardwaarde voor dit bestand in de root-cgroup is 0.
Het dreigingsinformatieteam van Palo Alto Networks merkte met name op dat de bug het gevolg is van een ontbrekende verificatie om te controleren of het proces dat het release_agent-bestand instelt, beheerdersrechten had, waardoor het rijp werd voor mogelijke uitbuiting.
Met andere woorden, als dit release_agent-bestand door een aanvaller wordt overschreven, kan de kernel worden gedwongen een willekeurig binair bestand aan te roepen dat in de release-agent is geconfigureerd met de hoogst mogelijke machtigingen – een scenario dat in feite een volledige overname van de machine mogelijk zou maken.
Het is echter vermeldenswaard dat alleen processen met “root”-privileges naar het bestand kunnen schrijven, wat betekent dat de kwetsbaarheid alleen root-processen toestaat om privileges te escaleren.
“Op het eerste gezicht lijkt een kwetsbaarheid voor escalatie van bevoegdheden die alleen door de rootgebruiker kan worden misbruikt misschien bizar”, legt Avrahami uit. “Uitvoeren als root betekent niet noodzakelijkerwijs volledige controle over de machine: er is een grijs gebied tussen de rootgebruiker en volledige privileges die mogelijkheden, naamruimten en containers omvat. In deze scenario’s waarin een rootproces geen volledige controle over de machine heeft , CVE-2022-0492 wordt een ernstige kwetsbaarheid.”
Hoewel containers met AppArmor of SELinux zijn beschermd tegen de fout, wordt gebruikers aangeraden om: van toepassing zijn de pleisters in het licht van het feit dat het kan worden misbruikt door andere kwaadaardige hostprocessen om privileges te verhogen.
Dit is lang niet de eerste keer dat release_agent naar voren komt als aanvalsvector. In juli 2017 heeft Google Project Zero-onderzoeker Felix Wilhelm gedemonstreerd een “quick and dirty” proof-of-concept (PoC) exploit die gebruikmaakt van de functie om uit bevoorrechte Kubernetes- en Docker-containers te breken.
Toen, in november 2021, cloudbeveiligingsbedrijf Aqua onthuld details van een cryptocurrency-mijncampagne die exact dezelfde ontsnappingstechniek voor containers gebruikte om de XMRig-muntmijnwerker op geïnfecteerde hosts te laten vallen, waardoor dit het eerste geregistreerde exemplaar van echte exploitatie is.
“CVE-2022-0492 markeert een nieuwe Linux-kwetsbaarheid die kan worden misbruikt voor het ontsnappen van containers”, concludeerde Avrahami. “Gelukkig worden omgevingen die best practices volgen beschermd tegen dit beveiligingslek. Omgevingen met lakse beveiligingscontroles die niet-vertrouwde of openbaar blootgestelde containers hosten, lopen, niet verwonderlijk, een hoog risico.”
