DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Lỗ hổng trong CRI-O cho phép tin tặc chiếm quyền root trên máy chủ
Một lỗ hổng an ninh mới được tiết lộ trong Kubernetes container engine CRI-O được gọi là cr8escape có thể bị hacker khai thác để qua mặt container và giành quyền truy cập root vào máy chủ.
Hai nhà nghiên cứu John Walker và Manoj Ahuje cho biết: "CVE-2022-0811 có thể cho phép tin tặc thực hiện nhiều hành động khác nhau đối với các mục tiêu, bao gồm thực thi phần mềm độc hại, lấy cắp dữ liệu và mở rộng phạm vi khai thác".
CRI-O là một triển khai của Kubernetes CRI (Container Runtime Interface) cho phép sử dụng các runtime tương thích OCI (Open Container Initiative). Nó là một thay thế cho việc sử dụng Docker làm runtime cho kubernetes. CRI-O cho phép Kubernetes sử dụng bất kỳ runtime tuân thủ OCI nào như runtime bộ chứa để chạy các POD.
Lỗ hổng có điểm CVSS 8.8, ảnh hưởng đến CRI-O phiên bản 1.19 trở lên. Hiện tại, các bản vá lỗi đã được phát hành để giải quyết lỗ hổng trong phiên bản 1.23.2 được phát hành vào ngày 15 tháng 3 năm 2022.
CVE-2022-0811 bắt nguồn từ sự thay đổi mã nguồn được giới thiệu trong phiên bản 1.19 để đặt các tùy chọn kernel cho POD, việc này cho phép hacker với quyền triển khai một POD trên một cụm Kubernetes sử dụng runtime CRI-O có thể lợi dụng tham số "kernel.core_pattern" qua mặt container và thực thi mã tùy ý với quyền root trên bất kỳ node nào trong cụm.
Tham số "kernel.core_pattern" được sử dụng để chỉ định tên mẫu cho core dump. Đây là tệp chứa ảnh menory snapshot của một chương trình tại một thời điểm cụ thể thường được kích hoạt để phản ứng với sự cố không mong muốn hoặc khi quá trình kết thúc bất thường.
"Nếu ký tự đầu tiên của mẫu là '|', kernel sẽ xử lý phần còn lại của mẫu như một lệnh để chạy. Core dump sẽ được ghi như một dữ liệu đầu vào tiêu chuẩn của chương trình đó thay vì ghi vào vào một tệp".
Do đó, bằng cách thiết lập tùy chọn này để trỏ đến một tập lệnh shell độc hại và kích hoạt một core dump, lỗ hổng dẫn đến việc gọi tập lệnh, thực thi mã từ xa và hacker có thể kiểm soát các node.
Các nhà nghiên cứu cho biết: "Với lỗ hổng CVE-2022-8011, tin tặc có thể sử dụng các máy đã cài đặt CRI-O để thiết lập tất cả các tham số kernel không cần tác động đến Kubernetes".
Hai nhà nghiên cứu John Walker và Manoj Ahuje cho biết: "CVE-2022-0811 có thể cho phép tin tặc thực hiện nhiều hành động khác nhau đối với các mục tiêu, bao gồm thực thi phần mềm độc hại, lấy cắp dữ liệu và mở rộng phạm vi khai thác".
CRI-O là một triển khai của Kubernetes CRI (Container Runtime Interface) cho phép sử dụng các runtime tương thích OCI (Open Container Initiative). Nó là một thay thế cho việc sử dụng Docker làm runtime cho kubernetes. CRI-O cho phép Kubernetes sử dụng bất kỳ runtime tuân thủ OCI nào như runtime bộ chứa để chạy các POD.
Lỗ hổng có điểm CVSS 8.8, ảnh hưởng đến CRI-O phiên bản 1.19 trở lên. Hiện tại, các bản vá lỗi đã được phát hành để giải quyết lỗ hổng trong phiên bản 1.23.2 được phát hành vào ngày 15 tháng 3 năm 2022.
CVE-2022-0811 bắt nguồn từ sự thay đổi mã nguồn được giới thiệu trong phiên bản 1.19 để đặt các tùy chọn kernel cho POD, việc này cho phép hacker với quyền triển khai một POD trên một cụm Kubernetes sử dụng runtime CRI-O có thể lợi dụng tham số "kernel.core_pattern" qua mặt container và thực thi mã tùy ý với quyền root trên bất kỳ node nào trong cụm.
Tham số "kernel.core_pattern" được sử dụng để chỉ định tên mẫu cho core dump. Đây là tệp chứa ảnh menory snapshot của một chương trình tại một thời điểm cụ thể thường được kích hoạt để phản ứng với sự cố không mong muốn hoặc khi quá trình kết thúc bất thường.
"Nếu ký tự đầu tiên của mẫu là '|', kernel sẽ xử lý phần còn lại của mẫu như một lệnh để chạy. Core dump sẽ được ghi như một dữ liệu đầu vào tiêu chuẩn của chương trình đó thay vì ghi vào vào một tệp".
Do đó, bằng cách thiết lập tùy chọn này để trỏ đến một tập lệnh shell độc hại và kích hoạt một core dump, lỗ hổng dẫn đến việc gọi tập lệnh, thực thi mã từ xa và hacker có thể kiểm soát các node.
Các nhà nghiên cứu cho biết: "Với lỗ hổng CVE-2022-8011, tin tặc có thể sử dụng các máy đã cài đặt CRI-O để thiết lập tất cả các tham số kernel không cần tác động đến Kubernetes".
Theo: thehackernews
Chỉnh sửa lần cuối: