Une faille de sécurité récemment divulguée dans le moteur de conteneurs Kubernetes CRI-O, appelée cr8escape, pourrait être exploitée par un attaquant pour sortir des conteneurs et obtenir un accès root à l'hôte.

Suivie sous le nom de CVE-2022-0811 et évaluée à 8.8 dans le système d'évaluation des vulnérabilités CVSS et affecte les versions CRI-O 1.19 et ultérieures. Cette vulnérabilité peut permettre à un attaquant d'effectuer une variété d'actions sur les objectifs, y compris l'exécution de logiciels malveillants, l'exfiltration de données et le mouvement latéral à travers les pods (Portable Storage Container).

CVE-2022-0811 résulte d'une modification de code introduite dans la version 1.19 pour définir les options du noyau pour un pod, ce qui entraîne un scénario dans lequel un acteur malveillant ayant les autorisations de déployer un pod sur un clusterKubernetes en utilisant le runtime CRI-O peut tirer parti du paramètre "kernel.core_pattern" pour réaliser un échappement de conteneur et une exécution de code arbitraire en tant que root sur n'importe quel nœud du cluster.

Il est recommandé aux utilisateurs de passer à la version 1.23.2 de CRI-O publiée le 15 Mars 2022.