V CRI-O, runtime na správu izolovaných kontajnerov, bola identifikovaná kritická zraniteľnosť (CVE-2022-0811), ktorá vám umožňuje obísť izoláciu a spustiť váš kód na strane hostiteľského systému. Ak sa namiesto kontajnerov a Docker použije CRI-O na spustenie kontajnerov spustených pod platformou Kubernetes, útočník môže získať kontrolu nad ktorýmkoľvek uzlom v klastri Kubernetes. Na vykonanie útoku máte dostatok práv iba na spustenie svojho kontajnera v klastri Kubernetes.
Zraniteľnosť je spôsobená možnosťou zmeny parametra sysctl jadra „kernel.core_pattern“ („/proc/sys/kernel/core_pattern“), ku ktorému nebol zablokovaný prístup, napriek tomu, že nepatrí medzi bezpečné parametre zmena, platná len v mennom priestore aktuálneho kontajnera. Pomocou tohto parametra môže používateľ z kontajnera zmeniť správanie linuxového jadra s ohľadom na spracovanie základných súborov na strane hostiteľského prostredia a organizovať spustenie ľubovoľného príkazu s právami root na strane hostiteľa zadaním obslužného programu ako “|/bin/sh -c 'príkazy'” .
Problém je prítomný od vydania CRI-O 1.19.0 a bol opravený v aktualizáciách 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2 a 1.24.0. Medzi distribúciami sa problém objavuje v Red Hat OpenShift Container Platform a openSUSE/SUSE produktoch, ktoré majú vo svojich úložiskách balík cri-o.
Zdroj: opennet.ru