У CRI-O, runtime для кіравання ізаляванымі кантэйнерамі, выяўлена крытычная ўразлівасць (CVE-2022-0811), якая дазваляе абыйсці ізаляцыю і выканаць свой код на баку хост-сістэмы. У выпадку выкарыстання CRI-O замест containerd і Docker для арганізацыі запуску кантэйнераў, якія працуюць пад кіраваннем платформы Kubernetes, атакавалы можа атрымаць кантроль над любым вузлом у кластары Kubernetes. Для правядзення нападу дастаткова правоў для запуску свайго кантэйнера ў кластары Kubernetes.
Уразлівасць выклікана магчымасцю змены sysctl-параметра ядра "kernel.core_pattern" ("/proc/sys/kernel/core_pattern"), доступ да якога не блакаваўся, нягледзячы на тое, што ён не ўваходзіць у лік бяспечных для змены параметраў, якія дзейнічаюць толькі ў прасторы імёнаў бягучага кантэйнера. Пры дапамозе дадзенага параметру карыстач з кантэйнера можа змяніць паводзіны ядра Linux у стаўленні апрацоўкі core-файлаў на боку хост-акружэнні і арганізаваць запуск адвольнай каманды з правамі root на боку хаста, паказаўшы апрацоўшчык тыпу «|/bin/sh -c 'каманды'» .
Праблема выяўляецца пачынальна з выпуску CRI-O 1.19.0 і ўхіленая ў абнаўленнях 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 і 1.24.0. З дыстрыбутываў праблема выяўляецца ў прадуктах Red Hat OpenShift Container Platform і openSUSE/SUSE, у рэпазітарах якіх маецца пакет cri-o.
Крыніца: opennet.ru