Severity: HIGH

Control groups (Cgroup): là một chức năng của linux để giới hạn sử dụng tài nguyên trên linux. Linux hỗ trợ 2 kiến trúc cgroup v1 và v2. CVE-2022-0492 chỉ ảnh hưởng v1.

Lỗ hổng được tìm thấy trong cgroup_release_agent_write tại kernel/cgroup/cgroup-v1.c của kernel linux dẫn đến container escape. Cụ thể chúng ta có thể mount cgroupfs và chỉnh sửa release_agent trong không gian của user. Khi một tiến trình chết kernel sẽ kiểm tra cgroups của tiến trình có bật notify_on_release hay không (notify_on_release bằng 1 ) nếu bật sẽ tạo ra release_agent binary và chạy với quyền root. Với quyền root của container chúng ta có thể sửa được tệp release_agent dẫn đến điều khiển được binary kernel sẽ chạy.

Trong thực tế container đang chạy cùng SELinux, AppArmor, or Seccomp nên đã được bảo về bởi lỗi này . Những điều kiện để khai thác thành công:

container chạy với root
AppArmor and SELinux đã tắt
Seccomp đã tắt
cgroup v1

Giảm thiểu rủi ro:

Bật AppArmor or SELinux
Bật Seccomp
Upgrade kernel linux nếu có thể

Tham khảo chi tiết lỗ hổng :
https://unit42.paloaltonetworks.com/cve-2022-0492-cgroups/

https://github.com/PaloAltoNetworks/can-ctr-escape-cve-2022-0492/blob/main/can-ctr-escape-cve-2022-0492.sh

https://sysdig.com/blog/detecting-mitigating-cve-2022-0492-sysdig/