Новая уязвимость cgroups в Linux ядре позволяет злоумышленнику выйти за пределы контейнерам Появились подробности об уже исправленной серьезной уязвимости в ядре Linux, которая потенциально может быть использована для выхода из контейнера с целью выполнения произвольных команд на хосте контейнера. CVE-2022-0492 была обнаружена в cgroup_release_agent_write ядра Linux в функции kernel/cgroup/cgroup-v1.c. При определенных обстоятельствах злоумышленник может использовать функцию cgroups v1 release_agent для повышения привилегий и обхода изоляции пространства имен. «Это одна из самых простых эскалаций привилегий Linux, обнаруженных за последнее время: ядро ​​​​Linux по ошибке предоставило привилегированную операцию непривилегированным пользователям», — сказал исследователь Unit 42 Юваль Авраами. Однако стоит отметить, что только процессы с привилегиями «root» могут записывать в файл, а это означает, что уязвимость позволяет исключительно root процессам повышать привилегии. «На первый взгляд уязвимость повышения привилегий, которую может использовать только root пользователь , может показаться странной», — пояснил Авраами. «Запуск от имени root не обязательно означает полный контроль над машиной: существует серая зона между root пользователем и полными привилегиями, включая возможности, пространства имен и контейнеры. В этих сценариях, когда root процесс не имеет полного контроля над машиной, CVE-2022-0492 становится серьезной уязвимостью».