美国网络安全和基础设施安全局(CISA)已将其已知被利用漏洞(KEV)目录中新增了一个关键的Linux内核漏洞,编号CVE-2022-0492,警告该漏洞正被实际攻击中积极利用。
该问题被归类为不当认证,影响使用 cgroups v1 release_agent 功能的 Linux 系统,可能使攻击者实现权限升级。
CVE-2022-0492 源于 Linux 内核控制组(cgroups)机制中验证和认证控制不足。
具体来说,该漏洞使本地攻击者能够操控release_agent功能,该功能设计用于在 cgroup 变空时执行脚本。
通过利用这种行为,攻击者可以执行带有更高权限的任意命令,有效逃离容器化环境或获得主机系统的根级访问权限。
Linux 内核不当认证漏洞漏洞利用
安全研究人员指出,这一缺陷在容器化和云原生环境中尤其危险,因为 cgroups 被广泛用于资源隔离。
配置错误或未打补丁的系统可能使已经获得初始访问权限的攻击者(例如通过被攻破的容器)突破并控制底层主机。
这与攻击者针对容器逃逸漏洞,在云基础设施内横向移动的趋势相符。
该漏洞与CWE-287(认证不当)和CWE-862(授权缺失)相关,凸显了安全边界执行检查不足。
虽然目前尚无明确公开归因将CVE-2022-0492直接关联到勒索软件活动,但CISA将该漏洞纳入KEV目录,表明其在野外存在积极利用的可信证据。
CISA已要求联邦机构根据《约束行动指令》(BOD)22-01,于2026年6月5日前修复该漏洞。
该指令要求各机构及时应用供应商提供的补丁或缓解措施,以减少风险暴露。
依赖受影响Linux系统的组织也强烈建议遵循类似的时间表,因为补丁延迟可能增加被攻破的风险。
缓解措施包括更新Linux内核至已补丁的版本以解决release_agent问题,尽可能关闭非特权用户命名空间,并限制对cgroup配置的访问。
安全团队还应审计容器环境,并监控与cgroup操作相关的可疑活动,因为这可能表明存在利用尝试。
CVE-2022-0492 加入 KEV 目录凸显了广泛部署的开源组件中权限升级漏洞所带来的持续风险。
随着攻击者越来越多地攻击Linux内核等基础技术,及时补丁和主动监控依然是防御企业和云环境免受不断演变威胁的关键。