호스트 환경에 대한 루트 액세스를 허용하는 CRI-O의 취약점

격리된 컨테이너를 관리하기 위한 런타임인 CRI-O에서 심각한 취약점(CVE-2022-0811)이 확인되었습니다. 이를 통해 격리를 우회하고 호스트 시스템 측에서 코드를 실행할 수 있습니다. Kubernetes 플랫폼에서 실행되는 컨테이너를 실행하기 위해 Containerd 및 Docker 대신 CRI-O를 사용하면 공격자가 Kubernetes 클러스터의 모든 노드를 제어할 수 있습니다. 공격을 수행하려면 Kubernetes 클러스터에서 컨테이너를 실행할 수 있는 권한만 있으면 됩니다.

이 취약점은 커널 sysctl 매개변수 "kernel.core_pattern"("/proc/sys/kernel/core_pattern")을 변경할 가능성으로 인해 발생합니다. 이 매개변수는 안전한 매개변수에 속하지 않음에도 불구하고 이에 대한 액세스가 차단되지 않습니다. 변경, 현재 컨테이너의 네임스페이스에서만 유효합니다. 이 매개변수를 사용하면 컨테이너의 사용자는 호스트 환경 측에서 코어 파일 처리와 관련하여 Linux 커널의 동작을 변경하고 다음과 같은 핸들러를 지정하여 호스트 측에서 루트 권한으로 임의 명령의 실행을 구성할 수 있습니다. "|/bin/sh -c '명령'" .

이 문제는 CRI-O 1.19.0 릴리스부터 존재했으며 업데이트 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 및 1.24.0에서 수정되었습니다. 배포판 중에서 리포지토리에 cri-o 패키지가 있는 Red Hat OpenShift Container Platform 및 openSUSE/SUSE 제품에 문제가 나타납니다.

출처 : opennet.ru