Linux 内核漏洞可用于逃逸 Kubernetes 容器

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究人员提醒称，该漏洞易于利用，由于 exploit 将在不久后发布，因此应紧急修复。

容器逃逸是一种特殊的网络攻击，可导致进一步渗透和在受陷网络中横向移动。

CVE-2022-0185 是一个位于 Linux 内核组件 “File System Context” 中的基于堆的缓冲区溢出漏洞，可导致界外写、拒绝服务和任意代码执行后果。触发该攻击流可使攻击者更改内核内存中的值并访问运行在相同节点上的进程。

从上周发布的Linux 发行版本安全通告来看，该缺陷可被本地用户提升在系统上的权限。然而，要使 exploit 起作用，攻击者需要利用低权限名称空间或使用 “unshare” 已 CAP_SYS_ADMIN 权限输入名称空间。该能力并非Docker 默认设置，启用容器时使用 “-privileged” 标记并非常见实践。另外，Docker ”seccomp” 过滤器默认拦截 “unshare” 命令，因此从根本上说并不允许运行该命令。

Aquasec 公司的分析师发现，当Docker 或其它容器平台用于 Kubernetes 集群中时，seccomp 过滤器默认禁用，因此 “unshare” 命令并未被拦截。因此，攻击者可运行该命令并获得具有完全能力的shell，包括以root权限在受陷系统上运行命令。

该漏洞由 CoR CTF 团队成员 William Liu 和 Jamie Hill-Daniel 发现，该团队共有来自欧洲和美国的21名成员。他们表示将在一周左右发布 CVE-2022-0185的 PoC。

该漏洞影响自 5.1-rc1 至最新修复版本 (5.4.173、5.10.93、5.15.1)的所有 Linux 内核版本。它影响 Ubuntu 20/21、Debian 11 和某些 Red Hat 软件包。

该漏洞的exploit 代码已创建，有研究员发现可遭成功利用。

CoR 团队还表示已创建适用于 Google Container 优化后的 Docker 容器操作系统的exploit 代码。

将 Linux 内核升级至 5.16.2 或后续版本可解决该漏洞。然而，尚不存在适用于所有 Linux 发行版本的更新，而很多系统管理员不会从源构建内核。在这些情况下，建议用户禁用低权限用户名称空间，并仅在绝对必要的条件下在工作负载上以 CAP_SYS_ADMIN 维护pod。

在 Ubuntu 上，可使用如下命令禁用低权限名称空间：

不要求容器化部署的 Red Hat 用户可通过如下命令禁用用户名称空间：

入需无权限容器，则需确保seccomp 过滤器可拦截 “unshare” 调用。

对于个体工作负载而言，可添加 seccomp 作为 “securityContext” 字段中的定义。Kubernetes 为此提供了详细指导，可见：https://kubernetes.io/docs/tutorials/security/seccomp/#create-pod-that-uses-the-container-runtime-default-seccomp-profile