A agência de cibersegurança dos Estados Unidos (CISA) reportou a exploração ativa de uma falha no kernel Linux que permite a invasores escapar de containers e assumir o controle dos sistemas hospedeiros, conforme comunicado da própria agência publicado no último dia 5. A vulnerabilidade foi descoberta há anos, mas evidências recentes, segundo a CISA, mostram que atacantes agora a utilizam para atacar ambientes containerizados.
A falha é registrada como CVE-2022-0492 (CVSS de 7.8). Trata-se de uma vulnerabilidade de autenticação inadequada no componente cgroups v1 do kernel Linux, informou a CISA. Ao modificar o arquivo release_agent, um invasor pode, de acordo com a agência, acionar a execução de um script malicioso com privilégios de root no sistema hospedeiro. O resultado, disse a CISA, é uma fuga completa do container e o comprometimento total do host.
Mitigações recomendadas
Administradores devem priorizar a atualização do kernel Linux para versões que incluam a verificação de capacidade para escritas no release_agent, orientou a CISA. A migração para cgroups v2 é uma mitigação de longo prazo, conforme a agência, pois essa versão remove completamente o recurso release_agent.
Organizações também devem considerar o uso de perfis de segurança como AppArmor, SELinux ou Seccomp, que bloqueiam as chamadas de sistema mount e unshare necessárias para o exploit, recomendou a CISA. Por fim, a agência orienta evitar a execução de containers com a flag –privileged ou com capacidades administrativas desnecessárias para reduzir a superfície de ataque.
