![CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器]( "CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器")
Kubernetes也称为 K8s,是一个开源系统,用于自动部署、扩展和管理容器化应用程序。它将构成应用程序的容器分组为逻辑单元,以便于管理和发现。Kubernetes 建立在 Google 15 年运行生产工作负载的经验之上,并结合了来自社区的最佳创意和实践。
![CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器]( "CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器")
Kubernetes 容器引擎 CRI-O 中新披露的一个名为cr8escape的安全漏洞可能被攻击者利用来突破容器并获得对主机的 root 访问权限。
CrowdStrike 研究人员 John Walker 和 Manoj Ahuje在发表的分析中说:“调用 CVE-2022-0811 可以让攻击者对目标执行各种操作,包括执行恶意软件、数据泄露和跨 pod 横向移动。”
作为 Docker 的轻量级替代品,CRI-O是 Kubernetes 容器运行时接口 (CRI) 的容器运行时实现,用于从注册表中提取容器映像并启动与开放容器倡议 ( OCI ) 兼容的运行时,例如 runC 以生成和运行容器进程。
该漏洞在 CVSS 漏洞评分系统中的评级为 8.8,影响 CRI-O 1.19 及更高版本。在负责任的披露之后,已发布补丁以解决2022 年 3 月 15 日发布的1.23.2 版本中的漏洞。
CVE-2022-0811 源于版本 1.19 中引入的代码更改,用于为 pod 设置内核选项,导致有权使用 CRI-O 运行时在 Kubernetes 集群上部署 pod 的不良行为者可以利用“ kernel.core_pattern ”参数以在集群中的任何节点上以root身份实现容器逃逸和任意代码执行。
![CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器]( "CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器")
参数“kernel.core_pattern”用于指定核心转储的模式名称,核心转储是一个包含程序在特定时间的内存快照的文件,通常在响应意外崩溃或进程异常终止时激活。
"如果模式的第一个字符是 '|' [管道],内核会将模式的其余部分视为要运行的命令。核心转储将写入该程序的标准输入而不是文件,“阅读Linux 内核文档。
因此,通过将此选项设置为指向恶意shell脚本并触发核心转储,漏洞导致脚本的调用,有效地实现远程代码执行并授予攻击者接管节点的能力。
原文始发于微信公众号(河南等级保护测评):CRI-O 引擎中的新漏洞让攻击者逃离 Kubernetes 容器
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/833014.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论