Se identificó una vulnerabilidad crítica (CVE-2022-0811) en CRI-O, un tiempo de ejecución para administrar contenedores aislados, que le permite evitar el aislamiento y ejecutar su código en el lado del sistema host. Si se utiliza CRI-O en lugar de Containerd y Docker para ejecutar contenedores que se ejecutan en la plataforma Kubernetes, un atacante puede obtener el control de cualquier nodo en el clúster de Kubernetes. Para llevar a cabo un ataque, sólo tienes derechos suficientes para ejecutar tu contenedor en el clúster de Kubernetes.
La vulnerabilidad es causada por la posibilidad de cambiar el parámetro sysctl del kernel “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”), cuyo acceso no fue bloqueado, a pesar de que no se encuentra entre los parámetros seguros para cambio, válido solo en el espacio de nombres del contenedor actual. Con este parámetro, un usuario de un contenedor puede cambiar el comportamiento del kernel de Linux con respecto al procesamiento de archivos centrales en el lado del entorno del host y organizar el lanzamiento de un comando arbitrario con derechos de root en el lado del host especificando un controlador como “|/bin/sh -c 'comandos'”.
El problema ha estado presente desde el lanzamiento de CRI-O 1.19.0 y se solucionó en las actualizaciones 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 y 1.24.0. Entre las distribuciones, el problema aparece en los productos Red Hat OpenShift Container Platform y openSUSE/SUSE, que tienen el paquete cri-o en sus repositorios.
Fuente: opennet.ru