Die US-Behörde CISA nahm am 2. Juni die als CVE-2022-0492 geführte Privilege-Escalation-Lücke im Linux-Kernel in den KEV-Katalog auf und bestätigte damit eine aktive Ausnutzung der bereits 2022 behobenen Schwachstelle.
Der Fehler liegt in einer fehlenden Kontrolle der Funktion cgroup_release_agent_write() in kernel/cgroup/cgroup-v1.c. Sobald eine Control Group leerläuft, legt die release_agent-Funktion ein durch den Kernel gestartetes Programm fest – mit vollen Root-Rechten und ohne Berechtigungsprüfung des schreibenden Prozesses. Ein Angreifer kann dies ausnutzen, um Privilegien zu erweitern und die Namespace-Isolation zu umgehen. In Container-Umgebungen kann dies zu einem Container-Ausbruch und Root-Zugriff auf dem Host führen.
Betroffen sind die Kernel-Branches von 2.6 bis 4.20 sowie 5.5 bis 5.17 und damit ausschließlich cgroups v1.
Was jetzt zu tun ist:
- Kernel patchen und betroffene Branches identifizieren
- Container-Hosts nach Möglichkeit auf cgroups v2 umstellen
- Container härten und auf übermäßige Berechtigungen prüfen
PRÄVENTION & DETEKTION
Mit modernen EDR-Lösungen behalten Sie die Aktivitäten auf all Ihren Endgeräten jederzeit im Blick. Verdächtige Vorgänge werden frühzeitig erkannt , lange bevor daraus ein ernsthaftes Sicherheitsrisiko entsteht.
So gewinnen Sie wertvolle Zeit: Bedrohungen können gezielt untersucht, priorisiert und schnell behoben werden.
Wir unterstützen Sie dabei, Ihr Unternehmen proaktiv vor Cyberangriffen zu schützen – effizient, transparent und genau auf Ihre Anforderungen abgestimmt.
Autor: Michael Niers
