Hlavní navigace

Chyba v linuxových cgroups umožňuje útočníkovi uniknout z kontejneru

7. 3. 2022

Sdílet

kontejner, logistika, doprava, přeprava, náklad, překladiště, je Autor: artegorov3@gmail / stock.adobe.com

Byla objevena velmi vážná zranitelnost v kódu linuxových cgroups, která umožňuje útočníkovi opustit kontejner aplikace a spustit vlastní kód v hostitelském systému. Chyba se nachází ve funkci jádra zvané control groups v1, která dovoluje organizovat procesy do hierarchické struktury a limitovat přístup k různým zdrojům jako je čas procesoru, paměť či přístup k síti. Právě na tom staví linuxové kontejnery včetně dalších nadstaveb jako Docker či Kubernetes.

Problém dostal označení CVE-2022–0492 a spočívá v nedostatečné kontrole oprávnění, kdy je privilegovaná funkce jádra dostupná i neprivilegovaným uživatelům. Chyba se konkrétně nachází ve funkci cgroup_release_agent_write, která je zavolána, pokud je v konkrétní skupině zavřen poslední proces. Útočník může funkci podstrčit vlastní kód, který je bez vhodné kontroly proveden. Jde o jednu z nejjednodušších eskalací linuxových privilegií objevených v poslední době: linuxové jádro omylem vystavilo privilegovanou operaci neprivilegovaným uživatelům, píše v oznámení Yuval Avrahami, výzkumník Unit 42.

Kromě použití dodatečných bezpečnostních vrstev v podobě modulů SELinux nebo AppArmor, samozřejmě doporučujeme aktualizovat linuxové jádro. Nejde o první zneužití tohoto rozhraní, na první problémy upozornili v roce 2019 vývojáři z Google, v listopadu 2021 zase společnost Aqua odhalila probíhající útoky zneužívající v praxi zmíněný problém.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.