VNG Cloud Logo

[CVE-2022-0492] Privilege escalation vulnerability causing container escape​​​​​​​

Severity: HIGH

Control groups (Cgroup): là một chức năng của linux để giới hạn sử dụng tài nguyên trên linux. Linux hỗ trợ 2 kiến trúc cgroup v1 và v2. CVE-2022-0492 chỉ ảnh hưởng v1.

Lỗ hổng được tìm thấy trong cgroup_release_agent_write tại  kernel/cgroup/cgroup-v1.c của kernel linux dẫn đến container escape. Cụ thể chúng ta có thể mount cgroupfs và chỉnh sửa release_agent trong không gian của user. Khi một tiến trình chết kernel sẽ kiểm tra cgroups của tiến trình có bật notify_on_release hay không (notify_on_release  bằng 1 ) nếu bật sẽ tạo ra release_agent binary và chạy với quyền root. Với quyền root của container chúng ta có thể sửa được tệp  release_agent dẫn đến điều khiển được binary kernel sẽ chạy.

Trong thực tế container đang chạy cùng SELinux, AppArmor, or Seccomp nên đã được bảo về bởi lỗi này . Những điều kiện để khai thác thành công:

  • container chạy với root 
     
  • AppArmor and SELinux đã tắt 
     
  • Seccomp đã tắt 
     
  • cgroup v1 

Giảm thiểu rủi ro: 


  • Bật AppArmor or SELinux
  • Bật Seccomp
  • Upgrade kernel linux nếu có thể  

Tham khảo chi tiết lỗ hổng : 
https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/

https://github.com/PaloAltoNetworks/can-ctr-escape-cve-2022-0492/blob/main/can-ctr-escape-cve-2022-0492.sh

https://sysdig.com/blog/detecting-mitigating-cve-2022-0492-sysdig/​​​​​​​