CRI-O引擎中的新漏洞允许攻击者逃离Kubernetes容器

Kubernetes容器引擎CRI-O中新披露的安全漏洞称为cr8escape攻击者可以利用此漏洞破解容器并获得对主机的root访问权限。

CrowdStrike研究人员约翰·沃克（John Walker）和马诺伊·阿胡耶（Manoj Ahuje）在本周发表的一份分析报告中说：“调用CVE-2022-0811可以让攻击者针对目标执行各种行动，包括执行恶意软件、数据外泄，以及跨吊舱的横向移动。”。

CRI-O是Docker的轻量级替代品，是Kubernetes容器运行时接口（CRI）的容器运行时实现，用于从注册表中提取容器映像，并启动与开放容器倡议（OCI）兼容的运行时，如runC，以生成和运行容器进程。

在CVSS漏洞评分系统中，该漏洞的等级为8.8，影响CRI-O 1.19及更高版本。在负责任的披露之后，发布了修补程序，以解决2022年3月15日发布的版本1.23.2中的缺陷。

CVE-2022-0811源于版本1.19中引入的代码更改，为pod设置内核选项，从而导致一种情况，即有权使用CRI-O运行时在Kubernetes群集上部署pod的坏角色可以利用“kernel.core_pattern”参数，以根用户身份在群集中的任何节点上实现容器转义和任意代码执行。

参数“kernel.core_pattern”用于指定核心转储的模式名，该转储是一个文件，包含程序在特定时间的内存快照，通常在响应意外崩溃或进程异常终止时激活。

Linux内核文档中写道：“如果模式的第一个字符是“|”[a pipe]，内核将把模式的其余部分视为要运行的命令。内核转储将写入该程序的标准输入，而不是文件。”。

因此，通过将此选项设置为指向恶意外壳脚本并触发核心转储，该漏洞会导致调用脚本，从而有效地实现远程代码执行，并授予对手接管节点的能力。

研究人员指出，“库伯内特斯没有必要调用CVE-2022-8011。”。“安装了CRI-O的计算机上的攻击者可以使用它自行设置内核参数。”