Kerentanan yang memengaruhi kernel Linux telah dilacak sebagai CVE-2022-0185 dan dapat digunakan untuk membuat container di Kubernetes keluar, dengan memberikan akses ke sumber daya pada sistem host.
Patching adalah masalah yang mendesak karena kode eksploit akan segera dipublikasikan.
Pembobolan container adalah jenis khusus dari serangan siber yang dapat membuka jalan bagi penyusupan yang lebih dalam dengan pergerakan lateral pada jaringan yang disusupi.
CVE-2022-0185 adalah kerentanan buffer overflow yang berbasis heap di komponen kernel Linux “File System Context” yang dapat menyebabkan penulisan di luar batas, penolakan layanan, dan eksekusi kode arbitrer.
Hal ini memungkinkan bisa memicu aliran penyerang untuk mengubah nilai dalam memori kernel dan mengakses setiap proses yang berjalan pada node yang sama.
Berdasarkan pemberitahuan keamanan yang dirilis oleh distribusi Linux beberapa waktu lalu, kelemahan tersebut dapat dimanfaatkan oleh pengguna lokal untuk meningkatkan hak istimewa mereka pada sistem.
Namun, agar proses eksploitasi berfungsi, penyerang perlu memanfaatkan namespace yang tidak memiliki hak istimewa atau menggunakan “unshare” untuk memasukkan namespace dengan izin CAP_SYS_ADMIN.
Kemampuan ini bukan pengaturan default pada Docker atau menggunakan flag “–privileged” saat memulai container bukanlah praktik umum.
Selain itu, perintah “unshare” diblokir oleh filter “seccomp” Docker secara default, jadi kita tidak bisa menjalankan perintah yang tidak diizinkan sejak awal.
Menurut analis dari Aquasec mencatat bahwa, ketika Docker atau platform container lainnya digunakan dalam cluster Kubernetes, filter seccomp dinonaktifkan secara default, sehingga perintah “unshare” tidak diblokir.
Dengan demikian, penyerang dapat menjalankan perintah dan mendapatkan shell dengan kemampuan penuh, termasuk menjalankan kode pada sistem yang disusupi sebagai root.
Penemu kerentanan ini adalah anggota tim CTF Crusaders of Rust (CoR) William Liu dan Jamie Hill-Daniel.
Secara total, tim memiliki 21 anggota dari Eropa dan AS.
Anggota CoR mengatakan bahwa mereka berencana untuk mempublikasikan kode eksploitasi untuk CVE-2022-0185 dalam waktu kurang dari seminggu untuk memberikan lebih banyak waktu untuk patch.
Kode akan tersedia di repositori GitHub CoR.
Bug heap overflow akan berdampak pada semua versi kernel Linux mulai dari 5.1-rc1 hingga yang patch terbaru (5.4.173, 5.10.93, 5.15.1).
Ini bisa mempengaruhi Ubuntu 20/21, Debian 11 dan beberapa paket Red Hat.
Tim CoR juga mengatakan bahwa mereka telah membuat kode eksploitasi yang berfungsi untuk sistem operasi yang dioptimalkan oleh Google Container untuk wadah Docker.
Mitigasi Bug Kernel Linux
Memutakhirkan kernel Linux ke versi 5.16.2 atau yang lebih baru akan mengatasi masalah tersebut.
Namun, pembaruan belum tersedia untuk semua distribusi Linux dan membangun kernel dari sumber bukanlah pilihan yang dianut oleh banyak administrator sistem.
Dalam kasus ini, kita disarankan untuk menonaktifkan ruang nama pengguna yang tidak memiliki hak istimewa dan hanya menyimpan pod dengan CAP_SYS_ADMIN hanya pada beban kerja yang benar-benar penting.
Pada Ubuntu, gunakanlah perintah ini untuk menonaktifkan ruang nama yang tidak memiliki hak:
sysctl -w kernel.unprivileged_userns_clone=0
Pengguna Red Hat yang tidak memerlukan penyebaran kemas dapat menonaktifkan ruang nama pengguna dengan perintah berikut:
# echo "user.max_user_namespaces=0" > /etc/sysctl.d/userns.conf
# sysctl -p /etc/sysctl.d/userns.confJika kita membutuhkan wadah yang tidak memiliki hak istimewa, pastikan filter seccomp secara aktif memblokir panggilan “unshare”.
Untuk beban kerja individu, seccomp dapat ditambahkan sebagai definisi di bidang “securityContext”.
Bitdefender GravityZone Security for Containers
Salah satu jenis perlindungan endpoint yang dimiliki Bitdefender dapat melindungi workloads container terhadap Linux modern serta serangan container dengan menggunakan pencegahan ancaman AI, teknologi anti-eksploitasi khusus Linux dan endpoint detection and response (EDR).
Bitdefender Security for Containers juga menyediakan visibilitas dan kontrol yang konsisten untuk semua container dan workloads di lingkungan hybrid dan multi-cloud.
Recent Comments