CRI-O容器运行时引擎任意代码执行漏洞（CVE-2022-0811）

漏洞详情

crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞，攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数，在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。

该问题已被收录为CVE-2022-0811。

漏洞影响

该漏洞影响范围为使用了CRI-O的Kubernetes集群，CRI-O的版本大于1.19，涉及的补丁版本包括1.19.6、1.20.7、1.21.6、1.22.3、1.23.2、1.24.0。

CCE集群未使用CRI-O，因此不受此漏洞影响。

漏洞修复方案

1. 1.19、1.20版本CRI-O，将manage_ns_lifecycle设置为false, 由OCI运行时配置sysctl。
2. 创建PodSecurityPolicy，将所有sysctl指定为false。
3. 及时升级CRI-O版本。

相关链接

1. Red Hat社区漏洞公告：https://access.redhat.com/security/cve/cve-2022-0811
2. cr8escape: New Vulnerability in CRI-O Container Engine Discovered by CrowdStrike：https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/