Bug mesin kontainer CRI-O memungkinkan pelarian kontainer Kubernetes – Keamanan
Technology

Bug mesin kontainer CRI-O memungkinkan pelarian kontainer Kubernetes – Keamanan

Pengguna Kubernetes yang menjalankan mesin kontainer CRI-O perlu melakukan patch terhadap kerentanan pelarian kontainer yang baru ditemukan.

Ditemukan oleh Crowdstrike dan subbed “cr8escape”, bug CRI-O (CVE-2022-0811) memungkinkan aktor jahat untuk menyalakan wadah pada infrastruktur bersama, dan dari wadah mereka meluncurkan serangan terhadap wadah lain, termasuk eksekusi kode berbahaya, data eksfiltrasi, dan gerakan lateral melintasi polong.

Seperti disebutkan dalam penasihat Crowdstrike, vektor serangan adalah melalui penyalahgunaan parameter kernel kernel.core_pattern untuk keluar dari wadahnya.

Penasihat tersebut mengutip OpenShift 4 dan Oracle Container Engine untuk Kubernetes sebagai platform yang mungkin terpengaruh oleh bug CRI-O, dan masih banyak lagi. Daftar lengkap pengadopsi CRI-O ada di sini.

Cacat ini diperkenalkan di Versi 1.19 CRI-O, dan ditambal di versi 1.19.6, 1.20.7, 1.21.6, 1.22.3, 1.23.2, 1.24.0. Versi yang ditambal ada di sini.

Crowdstrike menambahkan bahwa parameter konfigurasi pinns_path dapat diatur “untuk menunjuk ke pembungkus pinns yang menghapus opsi ‘-s'”, mencegah pod memperbarui parameter kernel apa pun.

Terakhir, peneliti Crowdstrike mencatat: “Kubernetes tidak perlu menjalankan CVE-2022-8011. Penyerang pada mesin dengan CRI-O terinstal dapat menggunakannya untuk mengatur parameter kernel dengan sendirinya”.

Posted By : pengeluaran hk hari ini 2021