Новая уязвимость cgroups в Linux ядре позволяет злоумышленнику выйти за пределы контейнера

Появились подробности об уже исправленной серьезной уязвимости в ядре Linux, которая потенциально может быть использована для выхода из контейнера с целью выполнения произвольных команд на хосте контейнера.

Уязвимость CVE-2022-0492 обнаружена в функции ядра Linux cgroups, которая позволяет организовывать позволяет образовывать иерархические группы процессов с заданными ресурсными свойствами и обеспечивает программное управление ими.

Уязвимость была обнаружена в cgroup_release_agent_write ядра Linux в функции kernel/cgroup/cgroup-v1.c. При определенных обстоятельствах злоумышленник может использовать функцию cgroups v1 release_agent для повышения привилегий и обхода изоляции пространства имен.

«Это одна из самых простых эскалаций привилегий Linux, обнаруженных за последнее время: ядро ​​​​Linux по ошибке предоставило привилегированную операцию непривилегированным пользователям», — сказал исследователь Unit 42 Юваль Авраами в отчете, опубликованном на этой неделе.

Однако стоит отметить, что только процессы с привилегиями «root» могут записывать в файл, а это означает, что уязвимость позволяет исключительно root процессам повышать привилегии.

«На первый взгляд уязвимость повышения привилегий, которую может использовать только root пользователь , может показаться странной», — пояснил Авраами. «Запуск от имени root не обязательно означает полный контроль над машиной: существует серая зона между root пользователем и полными привилегиями, включая возможности, пространства имен и контейнеры. В этих сценариях, когда root процесс не имеет полного контроля над машиной , CVE-2022-0492 становится серьезной уязвимостью».