CISA cảnh báo lỗ hổng Linux Kernel đang bị khai thác để thoát khỏi container

Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra cảnh báo khẩn cấp về một lỗ hổng nghiêm trọng trong nhân Linux đang được các tin tặc khai thác tích cực. Lỗi bảo mật này tạo điều kiện cho kẻ tấn công thực hiện việc thoát khỏi container (container escape) và leo thang đặc quyền người dùng.

Lỗ hổng được theo dõi dưới mã định danh CVE-2022-0492, với điểm số CVSS là 7.8 (mức độ cao). Vấn đề này được mô tả là một lỗi xác thực không đúng quy trình, cho phép kẻ tấn công bỏ qua cơ chế cô lập namespace và nâng quyền truy cập trái phép lên mức cao nhất trên hệ thống.

Bảo mật Cloud và Container

Chi tiết kỹ thuật về lỗ hổng

Lỗi này nằm ở cgroups v1, tính năng nhóm điều khiển của nhân Linux dùng để chỉ định các tài nguyên hệ điều hành mà một nhóm tiến trình được phép sử dụng. Mặc dù Linux có hai phiên bản control group, nhưng chỉ có phiên bản v1 bị ảnh hưởng bởi lỗi này. Cùng với namespaces, cgroups là thành phần thiết yếu để tạo và cô lập các container.

Do sự cố bảo mật, bất kỳ người dùng nào cũng có thể sửa đổi tệp release_agent nằm ở gốc của hệ thống phân cấp cgroup. Tệp này được thực thi với quyền root trong không gian tên cgroup như một phần của cơ chế thông báo khi một cgroup trở nên trống.

"Có thể tạo một tập lệnh độc hại nằm trên hệ thống tập tin của máy chủ (host), tập lệnh này sẽ được chạy với quyền root như một phần của quy trình thông báo cgroup, về cơ bản cho phép thoát container và leo thang đặc quyền," HackTheBox giải thích về cơ chế tấn công.

Ngoài ra, lỗi này còn cho phép kẻ tấn công tạo một user namespace mới với đặc quyền quản trị và sau đó tạo một cgroup chứa tệp release_agent độc hại để kích hoạt khai thác.

Khuyến cáo và các biện pháp khắc phục

Các chi tiết kỹ thuật về CVE-2022-0492 thực tế đã được công bố khoảng ba năm trước, tuy nhiên, việc khai thác lỗ hổng này trong môi trường thực mới chỉ được báo cáo vào tuần này, chỉ một ngày trước khi CISA đưa ra cảnh báo.

Bảo mật hệ thống

Công ty bảo mật Kaspersky cũng đã đề cập đến việc khai thác CVE-2022-0492 trong một bài viết blog mô tả các cuộc tấn công nhằm vào môi trường container, nhưng chưa xác định rõ kẻ đứng đằng sau cũng như nạn nhân cụ thể.

Vào ngày thứ Ba, CISA đã chính thức thêm CVE này vào danh mục "Lỗ hổng đã bị khai thác" (Known Exploited Vulnerabilities - KEV). Cơ quan này yêu cầu các cơ quan liên bang Mỹ phải áp dụng bản vá trước ngày 5 tháng 6 tới để đảm bảo an toàn.

Song song với đó, CISA cũng kêu gọi các tổ chức vá ngay lập tức lỗ hổng CVE-2025-48595, một lỗi nghiêm trọng trong thành phần Framework của Android. Google đã phát hành bản vá cho vấn đề này trong tuần này và cảnh báo rằng lỗi đã bị khai thác dưới dạng zero-day (khai thác trước khi có bản vá).