CRI-O Engine’nindeki Zafiyet Kubernetes Container’larını Saldırılara Karşı Savunmasız Bırakıyor

Kubernetes container engine’i CRI-O’da cr8escape adlı yeni bir güvenlik açığı, bir saldırganın container’dan çıkarak ve ana bilgisayarda root erişimi elde etmek için kullanılabiliyor. CrowdStrike araştırmacıları John Walker ve Manoj Ahuje, “CVE-2022-0811 tarafından keşfedilen zafiyet ve bir saldırganın kötü amaçlı yazılım yürütme, verilerin sızması ve bölmeler arasında yanal hareket dahil olmak üzere hedefler üzerinde çeşitli eylemler gerçekleştirmesine izin verebilir” dediler.

Güvenlik açığı, CVSS güvenlik açığı puanlama sisteminde 8.8 olarak derecelendirildi ve CRI-O 1.19 ve sonraki sürümlerini etkiliyor. Şirket açıklamanın ardından, 15 Mart 2022’de 1.23.2 sürümündeki kusuru gidermek için yamalar yayınlandı. Zafiyet, pod için kernel seçeneklerini ayarlamak ve sürüm 1.19’da tanıtılan bir kod değişikliğinden kaynaklanır ve bu, CRI-O çalışma zamanını kullanarak bir Kubernetes cluster’ında bir bölmeyi dağıtma izinlerine sahip saldırganın avantaj sağlayabileceği bir senaryoyla sonuçlanıyor. Cluster’daki herhangi bir node’da root olarak container escape ve rastgele kod yürütme elde etmek için ” kernel.core_pattern ” parametresi kullanılıyor. “kernel.core_pattern” parametresi , tipik olarak beklenmeyen sistem çökmelerine yanıt olarak veya işlem anormal şekilde sona erdiğinde etkinleştirilen belirli bir zamanda bir programın bellek görüntüsünü içeren bir dosya olan bir core dump almak için kullanılıyor. Bu nedenle, bu seçeneği kötü amaçlı bir shell komut dosyasına yönlendirerek ve bir core dump‘ı tetikleyecek şekilde ayarlayarak, güvenlik açığı komut dosyasının çağrılmasına yol açar, etkin bir şekilde uzaktan kod yürütmeyi gerçekleştirir ve saldırgana cluster devralma yeteneği verir. Bu nedenle uzmanlar güncellemelerin vakit kaybedilmeden yapılması konusunda uyarıyor.

Kaynak: thehackernews.com