È stata identificata una vulnerabilità critica (CVE-2022-0811) in CRI-O, un runtime per la gestione di contenitori isolati, che consente di aggirare l'isolamento ed eseguire il codice sul lato del sistema host. Se CRI-O viene utilizzato al posto di containerd e Docker per eseguire contenitori in esecuzione sulla piattaforma Kubernetes, un utente malintenzionato può ottenere il controllo di qualsiasi nodo nel cluster Kubernetes. Per effettuare un attacco hai solo i diritti sufficienti per eseguire il tuo container nel cluster Kubernetes.
La vulnerabilità è causata dalla possibilità di modificare il parametro sysctl del kernel “kernel.core_pattern” (“/proc/sys/kernel/core_pattern”), il cui accesso non è stato bloccato, nonostante non rientri tra i parametri sicuri modifica, valida solo nello spazio dei nomi del contenitore corrente. Utilizzando questo parametro, un utente da un contenitore può modificare il comportamento del kernel Linux per quanto riguarda l'elaborazione dei file core sul lato dell'ambiente host e organizzare il lancio di un comando arbitrario con diritti di root sul lato host specificando un gestore come “|/bin/sh -c 'comandi'” .
Il problema è presente dal rilascio di CRI-O 1.19.0 ed è stato risolto negli aggiornamenti 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 e 1.24.0. Tra le distribuzioni, il problema si presenta con Red Hat OpenShift Container Platform e con i prodotti openSUSE/SUSE, che hanno il pacchetto cri-o nei loro repository.
Fonte: opennet.ru