Penemuan Serius: Celah keamanan baru yang diungkap pada mesin kontainer Kubernetes, CRI-O, diberi nama “cr8escape”. Celah ini bisa dimanfaatkan penyerang untuk keluar dari kontainer dan mendapatkan akses root ke host.
Penjelasan Teknis dan Dampaknya
Menurut analisis dari peneliti CrowdStrike, John Walker dan Manoj Ahuje, celah keamanan ini dikenal dengan kode CVE-2022-0811. Penyerang bisa menjalankan berbagai aksi berbahaya seperti mengeksekusi malware, mencuri data, dan bergerak di antara pod. CRI-O sendiri adalah alternatif ringan untuk Docker yang berfungsi menarik gambar kontainer dari registri dan meluncurkan runtime sesuai Open Container Initiative (OCI) seperti runC.
Kerentanan dan Solusi
Rated dengan skor 8.8 pada sistem penilaian CVSS, kerentanan ini memengaruhi CRI-O versi 1.19 dan lebih baru. Setelah diungkap secara bertanggung jawab, patch telah dirilis untuk menambal kerentanan ini di versi 1.23.2 pada 15 Maret 2022.
Rincian Teknis
Celah ini muncul akibat perubahan kode pada versi 1.19 yang memungkinkan penyerang dengan izin untuk mengatur pod pada sebuah kluster Kubernetes dengan runtime CRI-O, memanfaatkan parameter “kernel.core_pattern” untuk menjalankan kode sebagai root. Parameter ini menentukan pola nama untuk core dump yang terjadi saat program crash.
Menariknya, jika karakter pertama dari pola adalah “|”, kernel akan membaca sisanya sebagai perintah yang harus dijalankan. Hal ini memungkinkan core dump dipindahkan ke input standar program alih-alih file, membuka peluang bagi penyerang untuk mengeksekusi skrip jahat.
