K8s的CRI-O引擎曝高危漏洞，可逃逸并获得宿主机ROOT权限

最近的网络安全研究发现，Kubernetes 容器引擎 CRI-O 中新披露的一个名为 cr8escape 的安全漏洞，可能被攻击者利用来突破逃逸容器并获得对宿主机的 root 权限。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该漏洞（CVE-2022-0811）在 CVSS 漏洞评分系统中的评级为 8.8，影响 CRI-O 1.19 及更高版本。成功利用该漏洞可以让攻击者对目标执行各种操作，包括执行恶意软件、数据泄露和跨 pod 横向移动。

作为 Docker 的轻量级替代品，CRI-O是 Kubernetes 容器运行时接口 (CRI) 的容器运行时实现，用于从注册表中提取容器映像并启动与开放容器倡议 ( OCI ) 兼容的运行时，例如 runC 以生成和运行容器进程。

该漏洞源于版本 1.19 中引入的代码更改，用于为 pod 设置内核选项，导致有权使用 CRI-O 运行时在 Kubernetes 集群上部署 pod 的不良行为者可以利用 kernel.core_pattern 参数以在集群中的任何节点上以root身份实现容器逃逸和任意代码执行。

参数 kernel.core_pattern 用于指定核心转储的模式名称，核心转储是一个包含程序在特定时间的内存快照的文件，通常在响应意外崩溃或进程异常终止时激活。

如果模式的第一个字符是”|”（管道符），内核会将模式的其余部分视为要运行的命令。核心转储将写入该程序的标准输入而不是文件。

因此，通过将此选项设置为指向恶意shell脚本并触发核心转储，漏洞导致脚本的调用，有效地实现远程代码执行并授予攻击者接管节点的能力。