首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Kubernetes CRI-O引擎任意代碼執行漏洞(CVE-2022-0811)

發布時間 2022-03-18


0x00 漏洞概述

CVE   ID

CVE-2022-0811

時    間

2022-03-17

類    型

代碼執行

等    級

高危

遠程利用


影響范圍


攻擊復雜度


用戶交互


PoC/EXP

已公開

在野利用


 

0x01 漏洞詳情

CRI-O是支持 Kubernetes 的容器運行時引擎,它是Kubernetes CRI(容器運行時接口)的一個實現,以實現使用OCI(開放容器倡議)兼容的運行時。

3月15日,研究人員公開披露了CRI-O 中稱為“cr8escape”的任意代碼執行漏洞(CVE-2022-0811),該漏洞的CVSS評分為8.8。

該漏洞是由于開發人員無意中在CRI-O 1.19 版本中的引入代碼存在安全問題,可以利用該漏洞繞過保護措施并在主機上設置任意內核參數。任何有權在使用 CRI-O 運行時的 Kubernetes 集群上部署 pod 的人都可以通過濫用“kernel.core_pattern”內核參數,在集群中的任何節點上以 root 身份實現容器逃逸和任意代碼執行。

 

影響范圍

CRI-O 版本 > 1.19.0

 

0x02 安全建議

該漏洞已在3月15日發布的CRI-O 版本1.19.6、1.20.7、1.21.6、1.22.3、1.23.2、1.24.0(暫未發布)中修復,受影響用戶可以及時升級更新。

下載鏈接:

https://github.com/cri-o/cri-o/releases

注:要確定主機是否受到影響:run crio —version

緩解措施:

可以將manage_ns_lifecycle設置為false,這將導致sysctls由OCI運行時進行配置,將過濾此問題。該選項在1.20和1.19中可用,但較新的版本沒有這個選項;

或者可以創建一個admission webhook來拒絕在pod的sysctl值中指定+的pod。

 

0x03 參考鏈接

https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/

https://github.com/cri-o/cri-o/security/advisories/GHSA-6x2m-w449-qwx7

https://thehackernews.com/2022/03/new-vulnerability-in-cri-o-engine-lets.html

 

0x04 版本信息

版本

日期

修改內容

V1.0

2022-03-18

首次發布

 

0x05 附錄

公司簡介

啟明星辰公司成立于1996年,并于2010年6月23日在深交所中小板正式掛牌上市,是國內極具實力的、擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商。

公司總部位于北京市中關村軟件園,在全國各省、市、自治區設有分支機構,擁有覆蓋全國的渠道體系和技術支持中心,并在北京、上海、成都、廣州、長沙、杭州等多地設有研發中心。

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

 

關于我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

image.png

上一篇 下一篇