[CVE-2022-0492] Privilege escalation vulnerability causing container escape
Severity: HIGH
Control groups (Cgroup): là một chức năng của linux để giới hạn sử dụng tài nguyên trên linux. Linux hỗ trợ 2 kiến trúc cgroup v1 và v2. CVE-2022-0492 chỉ ảnh hưởng v1.
Lỗ hổng được tìm thấy trong cgroup_release_agent_write tại kernel/cgroup/cgroup-v1.c của kernel linux dẫn đến container escape. Cụ thể chúng ta có thể mount cgroupfs và chỉnh sửa release_agent trong không gian của user. Khi một tiến trình chết kernel sẽ kiểm tra cgroups của tiến trình có bật notify_on_release hay không (notify_on_release bằng 1 ) nếu bật sẽ tạo ra release_agent binary và chạy với quyền root. Với quyền root của container chúng ta có thể sửa được tệp release_agent dẫn đến điều khiển được binary kernel sẽ chạy.
Trong thực tế container đang chạy cùng SELinux, AppArmor, or Seccomp nên đã được bảo về bởi lỗi này . Những điều kiện để khai thác thành công:
- container chạy với root
- AppArmor and SELinux đã tắt
- Seccomp đã tắt
- cgroup v1
Giảm thiểu rủi ro:
Bật AppArmor or SELinux- Bật Seccomp
- Upgrade kernel linux nếu có thể
Tham khảo chi tiết lỗ hổng :
https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/
https://sysdig.com/blog/detecting-mitigating-cve-2022-0492-sysdig/