CRI-O’da Ortaya Çıkan Güvenlik Açığı Openshift Kullanıcılarını Etkileyebilir

Crowdstrike araştırmacıları, CRI-O Container Engine üzerinde “cr8escape” olarak adlandırılan bir açığın kullanıldığını tespit etti. Açığın CVE değerlendirmesi 8.8 / 10 (High) olarak belirtildi ve CRI-O kullanılan yazılım ve platformları etkileyeceği açıklandı.

Bu açığı kullanan saldırganların Kubernetes container dışına çıkıp, root erişimi kazandıktan sonra clusterda istediği yere erişebileceği belirtiliyor.

Direkt etkilenen yazılım versiyonu:

• CRI-O version 1.19+

Dolaylı olarak etkilenen yazılımlar ve platformlar:

• OpenShift 4+
• Oracle Container Engine for Kubernetes

Çözüm:

Kubernetes düzeyinde;

• İdeal çözüm olarak sysctl komutlarında “+ =” değerleri kullanılarak podların bloklanması.
• İkincil çözüm olarak tüm sysctls’i bloklamak için PodSecurityPolicy forbiddenSysctls alanın kullanılması.

CRI-O düzeyinde;

• CRI-O’nun güncel sürüme yükseltilmesi. (Patched version 1.23.2.)
• CRI-O config dosyasında pinns_path e -s parametresinin eklenebilir. Böylece podların kernel parametrelerine bağlı ihlali engellenebilir.
• CRI-O sürüm 1.18 veya daha eski bir sürüme geçilmesi (pek çok durumda önerilmez).