Een nieuw onthuld beveiligingslek in de Kubernetes-containerengine CRI-O genaamd cr8escape kan door een aanvaller worden misbruikt om uit containers te breken en root-toegang tot de host te verkrijgen.
“Het aanroepen van CVE-2022-0811 kan een aanvaller in staat stellen een verscheidenheid aan acties op doelen uit te voeren, waaronder het uitvoeren van malware, exfiltratie van gegevens en zijwaartse verplaatsing tussen pods,” CrowdStrike-onderzoekers John Walker en Manoj Ahuje zei in een analyse die deze week is gepubliceerd.
Een lichtgewicht alternatief voor Docker, CRI-O is een containerlooptijd implementatie van de Kubernetes Container Runtime Interface (CRI) die wordt gebruikt om container-images uit registers te halen en een Open Container Initiative te starten (OCI)-compatibele runtime zoals runC om containerprocessen te spawnen en uit te voeren.
De kwetsbaarheid heeft een 8,8 op het CVSS-scoresysteem voor kwetsbaarheden en is van invloed op CRI-O-versies 1.19 en hoger. Na verantwoorde onthulling zijn er patches vrijgegeven om de fout in versie 1.23.2 verzonden op 15 maart 2022.
CVE-2022-0811 komt voort uit a code wijzigen geïntroduceerd in versie 1.19 om kernelopties voor een pod in te stellen, wat resulteert in een scenario waarin een slechte acteur met machtigingen om een pod op een Kubernetes-cluster te implementeren met behulp van de CRI-O-runtime kan profiteren van de “kernel.core_pattern” om container-escape en willekeurige code-uitvoering als root op elk knooppunt in het cluster te bereiken.
De parameter “kernel.core_pattern” wordt gebruikt om een patroonnaam op te geven voor a kern dumpeen bestand met de geheugensnapshot van een programma op een bepaald tijdstip dat doorgaans wordt geactiveerd als reactie op onverwachte crashes of wanneer het proces abnormaal wordt beëindigd.
“Als het eerste teken van het patroon een ‘|’ is [a pipe], zal de kernel de rest van het patroon behandelen als een uit te voeren opdracht. De kerndump wordt naar de standaardinvoer van dat programma geschreven in plaats van naar een bestand”, luidt de Linux-kerneldocumentatie.
Door deze optie in te stellen om naar een kwaadaardig shellscript te verwijzen en een coredump te activeren, leidt de kwetsbaarheid daarom tot het aanroepen van het script, waardoor de uitvoering van externe code effectief wordt bereikt en de tegenstander de mogelijkheid krijgt om het knooppunt over te nemen.
“Kubernetes is niet nodig om CVE-2022-8011 op te roepen”, merkten de onderzoekers op. “Een aanvaller op een machine waarop CRI-O is geïnstalleerd, kan deze gebruiken om zelf kernelparameters in te stellen.”
