新的Linux内核cgroups漏洞可能会让攻击者逃离容器

关于Linux内核中一个现已修补的高严重性安全漏洞的详细信息已经浮出水面，该漏洞可能被滥用以逃离容器，以便在容器主机上执行任意命令。

缺点在于Linux内核中名为“控制组”的功能，也称为cgroups version 1（v1），它允许将进程组织为分层组，从而可以限制和监视CPU、内存、磁盘I/O和网络等资源的使用。

该问题被追踪为CVE-2022-0492（CVSS分数：7.0），涉及cgroups v1 release_agent功能中的权限升级案例，该脚本在cgroup中的任何进程终止后执行。

42单元研究员尤瓦尔·阿夫拉哈米在本周发布的一份报告中说：“这个问题是最近发现的最简单的Linux特权升级之一：Linux内核错误地将特权操作暴露给了非特权用户。”。

当特定cgroup变为空时，是否调用release_agent程序取决于相应cgroup目录中notify_on_release文件中的值。如果此文件包含值0，则不会调用release_agent程序。如果包含值1，则调用release_agent程序。根cgroup中此文件的默认值为0。

具体而言，Palo Alto Networks威胁情报团队指出，该漏洞是由于缺少验证，无法检查设置发布代理文件的过程是否具有管理权限，从而使其具备了潜在的利用机会。

换句话说，如果该发布代理文件被攻击者覆盖，内核可能会被迫调用在发布代理中配置的具有最高权限的任意二进制文件–；一个可以有效地完全接管机器的场景。

然而，值得注意的是，只有具有“root”权限的进程才能写入文件，这意味着该漏洞只允许root进程升级权限。

“乍一看，只有root用户才能利用的权限提升漏洞可能看起来很奇怪，”Avrahami解释道。“以root用户身份运行并不一定意味着完全控制机器：root用户和包括功能、名称空间和容器在内的完全权限之间有一个灰色区域。在这些情况下，根进程无法完全控制机器，CVE-2022-0492就成了一个严重的漏洞。”

尽管使用AppArmor或SELinux运行的容器受到保护，不受该漏洞的影响，但鉴于其他恶意主机进程可能会滥用该漏洞来提升权限，建议用户应用补丁。

这远不是第一次发布RelaseAg代理作为攻击向量。2019年7月，Google Project Zero研究员Felix Wilhelm展示了一个“快速且肮脏”的概念验证（PoC）漏洞，利用该功能突破特权库伯内特（Kubernetes）和Docker容器。

然后，在2021年11月，云本土安全公司AQA披露了一种使用完全相同的容器逃逸技术来将XMRIG硬币矿工丢弃在受感染的主机上的加密能力挖掘活动的细节，使其成为真实世界开发的第一个被记录的实例。

Avrahami总结道：“CVE-2022-0492标志着另一个Linux漏洞，可用于容器逃逸。”。“幸运的是，遵循最佳做法的环境受到保护，不会受到此漏洞的影响。安全控制不严的环境承载不受信任或公开暴露的容器，因此风险很高。”