最近的网络安全研究发现,Kubernetes 容器引擎 CRI-O 中新披露的一个名为 cr8escape 的安全漏洞,可能被攻击者利用来突破逃逸容器并获得对宿主机的 root 权限。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞(CVE-2022-0811)在 CVSS 漏洞评分系统中的评级为 8.8,影响 CRI-O 1.19 及更高版本。成功利用该漏洞可以让攻击者对目标执行各种操作,包括执行恶意软件、数据泄露和跨 pod 横向移动。
作为 Docker 的轻量级替代品,CRI-O是 Kubernetes 容器运行时接口 (CRI) 的容器运行时实现,用于从注册表中提取容器映像并启动与开放容器倡议 ( OCI ) 兼容的运行时,例如 runC 以生成和运行容器进程。
该漏洞源于版本 1.19 中引入的代码更改,用于为 pod 设置内核选项,导致有权使用 CRI-O 运行时在 Kubernetes 集群上部署 pod 的不良行为者可以利用 kernel.core_pattern 参数以在集群中的任何节点上以root身份实现容器逃逸和任意代码执行。
参数 kernel.core_pattern 用于指定核心转储的模式名称,核心转储是一个包含程序在特定时间的内存快照的文件,通常在响应意外崩溃或进程异常终止时激活。
如果模式的第一个字符是”|”(管道符),内核会将模式的其余部分视为要运行的命令。核心转储将写入该程序的标准输入而不是文件。
因此,通过将此选项设置为指向恶意shell脚本并触发核心转储,漏洞导致脚本的调用,有效地实现远程代码执行并授予攻击者接管节点的能力。
极牛网精选文章《K8s的CRI-O引擎曝高危漏洞,可逃逸并获得宿主机ROOT权限》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18578.html