A Cybersecurity and Infrastructure Security Agency (CISA) figyelmeztetést adott ki egy régóta ismert, de jelenleg is aktívan kihasznált Linux kernel sérülékenység miatt.
A CVE-2022-0492 az amerikai KEV (Known Exploited Vulnerabilities) listára került, ami azt jelenti, hogy a hatóságok valós támadások során történő kihasználását észlelték.
Mi a sérülékenység lényege?
A hiba a Linux kernel cgroups v1 (Control Groups) rendszerének release_agent funkcióját érinti.
A release_agent eredetileg arra szolgál, hogy egy program automatikusan lefusson, amikor egy csoport kiürül.
A kernel azonban nem végzett megfelelő jogosultság-ellenőrzést, így egy támadó bizonyos körülmények között:
- módosíthatja a release_agent beállításait,
- tetszőleges parancsot futtathat,
- root jogosultságot szerezhet.
A sérülékenység:
- CWE-287 (Improper Authentication)
- CWE-862 (Missing Authorization)
kategóriákba tartozik.
Miért veszélyes?
Önmagában a hiba nem távoli kódfuttatás.
A támadónak először valamilyen hozzáférést kell szereznie:
- ellopott hitelesítő adatokkal,
- feltört webalkalmazáson keresztül,
- sérülékeny konténerből,
- supply-chain támadással.
Ezután azonban a CVE-2022-0492 segítségével:
✅ root jogosultságot szerezhet
✅ biztonsági megoldásokat kikapcsolhat
✅ további rendszerekre mozoghat
✅ tartós hozzáférést alakíthat ki
Konténeres környezetekben különösen kritikus
A sérülékenység legnagyobb kockázata a:
- Docker
- Kubernetes
- OpenShift
- egyéb konténerplatformok
esetében jelentkezik.
A támadó:
- kompromittál egy konténert
- kihasználja a CVE-2022-0492 hibát
- kitör a konténerből
- hozzáfér a hoszt operációs rendszerhez
Ezután már:
- más konténerekhez,
- adatbázisokhoz,
- felhős szolgáltatásokhoz,
- üzleti alkalmazásokhoz
is hozzáférhet.
Kik lehetnek érintettek?
A sérülékenység elsősorban:
- Linux szervereket
- Kubernetes klasztereket
- Docker hosztokat
- felhős infrastruktúrákat
- virtualizációs környezeteket
érinti.
Különösen fontos:
- pénzügyi szektor
- egészségügy
- kritikus infrastruktúra
- telekommunikáció
- államigazgatás
számára.
Miért most került ismét reflektorfénybe?
A CVE 2022-es, tehát nem új sérülékenység.
A probléma az, hogy számos szervezet:
- nem frissített kernelt használ,
- még mindig cgroups v1-et futtat,
- régi konténerhosztokat üzemeltet.
A CISA KEV-listára történő felvétele azt jelzi, hogy a támadók jelenleg is sikeresen használják ezt a hibát.
Javasolt intézkedések
Azonnali teendők
✅ Linux kernel frissítése
✅ Ellenőrizni a cgroups v1 használatát
✅ Átállás cgroups v2-re, ahol lehetséges
✅ Konténer jogosultságok felülvizsgálata
✅ Legkisebb jogosultság elvének alkalmazása
Monitoring
Figyelni kell:
- release_agent módosításokat
- váratlan root folyamatokat
- konténerből induló rendszerfolyamatokat
- szokatlan privilege escalation eseményeket
Konténeres környezetekben
- Privileged konténerek minimalizálása
- HostPath mountok felülvizsgálata
- Runtime védelem alkalmazása
- EDR/XDR megoldások használata Linux rendszereken is
Mit jelent ez a gyakorlatban?
A CVE-2022-0492 jól mutatja, hogy a támadók egyre gyakrabban célozzák a Linux infrastruktúra alapvető komponenseit.
Korábban a hangsúly főként Windows rendszereken volt, ma azonban:
- a felhőszolgáltatások,
- a Kubernetes környezetek,
- a virtualizáció,
- az internetes szolgáltatások
jelentős része Linuxon fut.
Ezért egy kernel szintű sérülékenység ma már teljes vállalati vagy felhős környezetek kompromittálásához vezethet.
