Byla objevena velmi vážná zranitelnost v kódu linuxových cgroups, která umožňuje útočníkovi opustit kontejner aplikace a spustit vlastní kód v hostitelském systému. Chyba se nachází ve funkci jádra zvané control groups v1, která dovoluje organizovat procesy do hierarchické struktury a limitovat přístup k různým zdrojům jako je čas procesoru, paměť či přístup k síti. Právě na tom staví linuxové kontejnery včetně dalších nadstaveb jako Docker či Kubernetes.
Problém dostal označení CVE-2022–0492 a spočívá v nedostatečné kontrole oprávnění, kdy je privilegovaná funkce jádra dostupná i neprivilegovaným uživatelům. Chyba se konkrétně nachází ve funkci cgroup_release_agent_write, která je zavolána, pokud je v konkrétní skupině zavřen poslední proces. Útočník může funkci podstrčit vlastní kód, který je bez vhodné kontroly proveden. Jde o jednu z nejjednodušších eskalací linuxových privilegií objevených v poslední době: linuxové jádro omylem vystavilo privilegovanou operaci neprivilegovaným uživatelům,
píše v oznámení Yuval Avrahami, výzkumník Unit 42.
Kromě použití dodatečných bezpečnostních vrstev v podobě modulů SELinux nebo AppArmor, samozřejmě doporučujeme aktualizovat linuxové jádro. Nejde o první zneužití tohoto rozhraní, na první problémy upozornili v roce 2019 vývojáři z Google, v listopadu 2021 zase společnost Aqua odhalila probíhající útoky zneužívající v praxi zmíněný problém.
ČLÁNKY DO MAILU