一、漏洞概述
2022年2月,Linux内核社区披露了一个编号为CVE-2022-0492的内核权限提升漏洞。该漏洞源于cgroup v1的release_agent功能中存在的认证缺陷,允许攻击者绕过命名空间隔离并获取提升的系统权限。
“这是近期发现的最简单的Linux提权漏洞之一:Linux内核错误地将特权操作暴露给了非特权用户。”
—— Palo Alto Networks Unit 42安全研究员Yuval Avrahami
根据CVSS v3评分标准,该漏洞被评定为7.0 - 7.8 分(高危)。其攻击复杂度低,一旦攻击者获得本地系统访问权限,无需用户交互即可实现权限提升。
二、漏洞成因:cgroup v1的认证缺失
2.1 认证缺陷的本质
该漏洞被CISA和NVD明确归类为CWE-287(不当认证)漏洞。漏洞位于Linux内核的kernel/cgroup/cgroup-v1.c文件中的cgroup_release_agent_write函数。
cgroups(控制组)是Linux内核的一项核心功能,用于对进程组进行资源限制、记录和隔离,也是Docker、Kubernetes等容器技术的底层基石。cgroup v1中的release_agent功能允许管理员配置一个“释放代理”程序,该程序会在cgroup中的进程终止时自动执行。
漏洞的根源在于:内核在允许修改release_agent文件之前,没有检查执行该操作的进程是否具备足够的管理权限(即CAP_SYS_ADMIN能力)。
补丁提交记录清晰地说明了问题所在:
“cgroup release_agent通过call_usermodehelper函数调用,该函数以完整的能力集启动release_agent。因此,必须要求在设置release_agent时具备相应的能力。”
—— Linux内核补丁提交说明
2.2 利用条件
攻击者要成功利用该漏洞,需满足以下条件:
容器内获得root权限或具备CAP_DAC_OVERRIDE能力
容器未配置额外的安全防护措施,如AppArmor、SELinux或Seccomp
cgroup v1功能被启用(大多数容器环境默认使用cgroup v1)
三、影响范围
3.1 受影响的内核版本
该漏洞影响Linux内核v2.6.24-rc1及以上版本,修复版本为v5.17-rc3及以上内核版本。时间跨度极长——漏洞代码自2008年引入以来,存在了约14年之久。
3.2 受影响的厂商与发行版
主流Linux发行版均已确认受影响,包括但不限于:
| | |
|---|
| | |
| Debian Stretch/Buster/Bullseye | | |
| | |
| | |
| | |
| | |
Ubuntu的修复工作于2022年初完成,其修复版本包括:20.04 LTS的 5.4.0-105.119、18.04 LTS的 4.15.0-173.182 等。Debian各版本也已发布相应修复。
3.3 受影响的应用场景
四、攻击原理:容器逃逸的完整路径
攻击者利用该漏洞实现容器逃逸的典型流程如下:
获取容器内root权限:攻击者通过其他方式获取容器内的root权限或CAP_DAC_OVERRIDE能力。
挂载cgroup文件系统:攻击者挂载cgroup v1文件系统(例如 mount -t cgroup -o memory cgroup /tmp/testcgroup)。
创建子cgroup:在挂载点下创建子目录,代表一个新的子cgroup。
设置notify_on_release:将notify_on_release设置为 1,开启release_agent调用功能。
覆盖release_agent:将release_agent文件指向攻击者准备的自定义脚本或二进制文件在宿主机上的路径。
触发release_agent:向cgroup中添加进程并使其退出,触发release_agent执行。
逃逸成功:攻击者指定的代码以宿主机的完整权限被执行,实现容器逃逸。
这一攻击路径使得原本被隔离在容器内的代码,能够突破隔离边界,在宿主机上以root权限执行任意命令。
五、安全状态更新
5.1 最新安全动态
2026年6月2日,CISA正式将CVE-2022-0492列入已知被利用漏洞目录(KEV Catalog),证实该漏洞已在真实攻击环境中被积极利用。CISA要求联邦机构在2026年6月5日前完成补丁部署或采取有效缓解措施。
5.2 修复与缓解方案
内核升级(推荐)
将 Linux 内核升级至修复版本(v5.17-rc3 或更高版本,或各发行版提供的修复后稳定内核),这是最彻底的解决方案。需注意,由于修复方案已被反向移植到受支持的旧版本内核中,不能仅凭版本号判断是否已修复,必须参考各发行版官方安全公告确认补丁状态。
临时安全加固
对于无法立即升级的环境,可采取以下临时措施:
| | |
|---|
| | |
| | |
| | |
| | |
| 该漏洞仅影响 cgroup v1,v2 架构不受影响 | |
5.3 漏洞验证
安全研究人员已公开可利用的 PoC(概念验证)代码,可用于验证系统是否存在漏洞。建议系统管理员在自己的测试环境中进行验证,以确认当前配置的安全性。
CVE-2022-0492是一个典型的不当认证漏洞,它再次揭示了权限校验缺失可能导致的安全风险。作为容器技术的底层核心组件,cgroup的安全性直接关系到整个容器生态的安全。
值得庆幸的是,遵循安全最佳实践的环境(如启用AppArmor、SELinux、Seccomp等防护机制)可以有效抵御该漏洞的攻击。CISA于2026年6月将其列入已知利用目录,表明恶意攻击者已开始大规模利用该漏洞,进一步凸显了及时更新内核和加强容器安全配置的紧迫性。
文中信息基于NIST NVD、CISA KEV、Ubuntu Security、Debian Security、阿里云安全中心等权威来源的最新公告整理,数据截至2026年6月8日。