Linux核心漏洞Copy Fail可突破Kubernetes防護機制

荷蘭DevOps暨網頁開發工程師Jorijn Schrijvershof發布部落格文章指出，Copy Fail是本機權限提升漏洞，攻擊者必須事先取得本機使用者權限才能利用，乍看之下濫用範圍相當有限，不過現在的本機範圍涵蓋多種情境，包括：共用Kubernetes節點的所有容器、共用主機的每個租戶、每個執行拉取請求程式碼的CI/CD工作、Windows電腦的WSL2實體（Instance）、每個獲得shell存取權限的容器化AI代理，上述的本機環境存在共通點，就是都和其他Linux環境共用核心。因此，一旦攻擊者成功利用Copy Fail，其影響範圍將會擴散，換言之，對於代管主機、Kubernetes、CI/CD等開發者會用到的環境，緩解Copy Fail格外重要。

Schrijvershof引述資安公司Juliet.sh在Kubernetes的漏洞測試結果，確認PSS Restricted機制並未封鎖AF_ALG的Socket連線建立。Juliet.sh透過Talos與Amazon EKS進行測試，發現執行環境提供的預設seccomp設定檔，也都無法防範Copy Fail。Schrijvershof強調，即使是採用最嚴格安全政策的Kubernetes工作負載，其Pod仍可呼叫並存取存在漏洞的程式碼路徑。該名開發者也提及CERT-EU的緩解措施強調此問題的嚴重性：CERT-EU認為，即便使用者已套用修補程式，還是最好新增seccomp設定檔明確封鎖Socket連線的產生。