Contourner le problème Copy Fail avec eBPF dans Kubernetes

En exploitant K8s, j’ai reçu une demande de réponse urgente à ce sujet, donc j’ai bricolé quelque chose de simple.

Une vulnérabilité baptisée Copy Fail a été révélée : il est possible de compromettre les privilèges root de l’hôte depuis un Pod K8s simplement en ouvrant un socket utilisant AF_ALG.

https://fr.news.hada.io/topic?id=29031

Un patch du noyau est bien sorti, mais dans la plupart des environnements de production il est difficile de l’appliquer rapidement. De plus, sur les noyaux récents, cette fonctionnalité est activée en kernel built-in, ce qui empêche aussi de désactiver le module noyau.

Pour résoudre ce problème plus facilement, ce programme vérifie simplement dans eBPF si l’appel de fonction concerné est détecté, puis :

1. si le noyau le prend en charge, force l’échec de cet appel de fonction ;
2. sinon, tue le processus concerné.

Ce programme a été préparé pour pouvoir être utilisé via le déploiement d’un unique DaemonSet K8s, donc si vous en avez besoin, servez-vous~