CrowdStrike의 새로운 CRI-O 컨테이너 엔진 취약점 CVE-2022-0811 (CR8ESCAPE, CVSS 8.8)은 CRI-O 버전 1.19 이상 및 Kubernetes 및 OpenShift (버전 4.6-4.10)에 영향을 미칩니다.
이 취약점을 고려하면 공격자가 호스트를 타협하고 임의의 코드를 실행할 수 있습니다.
CRI-O는 OCI 호환 런타임을 실행하고 Docker를 Kubernetes의 컨테이너 엔진으로 교체 할 수있는 플랫폼입니다.
CVE-2022-0811은 PINNS 유틸리티에 대한 지원을 추가함으로써 발생하는 취약점이며, 적절한 검증없이 임의의 커널 매개 변수를 설정할 수있는 결함이 있습니다.
대응책으로 CRI-O 패치를 적용하거나 FALCO 또는 OPA를 사용하여 악용 시도를 감지하고 방지하는 것이 좋습니다.