A agência de segurança cibernética dos EUA (CISA) alertou ontem (2 de junho) sobre a exploração ativa da vulnerabilidade CVE-2022-0492 (CVSS 7.8) no kernel do Linux, que permite que invasores escapem de contêineres e escalonem privilégios. A falha, descrita como autenticação inadequada, afeta exclusivamente o cgroups v1, recurso essencial para isolamento de processos e criação de contêineres.
Detalhes técnicos da vulnerabilidade
A falha reside no cgroups v1, mecanismo do kernel que especifica quais recursos do sistema operacional um grupo de processos pode usar. De acordo com a explicação da HackTheBox, qualquer usuário pode modificar o arquivo release_agent na raiz da hierarquia do cgroup, que é executado como root dentro do namespace do cgroup quando o grupo se torna vazio. Um invasor pode criar um script malicioso no sistema de arquivos do host que será executado como root, permitindo a saída do contêiner e o escalonamento de privilégios.
Conforme detalhou a CISA, o bug permite que atacantes criem um novo namespace de usuário com privilégios de administrador e, em seguida, um cgroup com um arquivo release_agent malicioso, disparando a exploração. A empresa Kaspersky mencionou a exploração da CVE-2022-0492 em uma publicação em seu blog que descreve ataques a ambientes de contêiner, mas não especificou quem está por trás dos ataques nem quem são as vítimas.
Contexto da exploração e medidas recomendadas
Os detalhes técnicos da CVE-2022-0492 foram publicados há cerca de três anos, mas a exploração ativa foi reportada apenas nesta semana, um dia antes do alerta da CISA. A agência adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e determinou que órgãos federais americanos apliquem correções até amanhã (5 de junho).
A CISA também recomendou a correção imediata da CVE-2025-48595, uma falha de alta gravidade no componente Framework do Android. O Google corrigiu o problema nesta semana, alertando que ela já foi explorada como zero-day.
Organizações que utilizam contêineres com cgroups v1 devem priorizar a atualização do kernel Linux para versões que contenham o patch da CVE-2022-0492, disponível desde 2022. Ambientes que não puderem ser atualizados imediatamente devem considerar a migração para cgroups v2, que não é afetado.
