Alerta de Seguridad: Escalada de Privilegios en Linux Kernel mediante cgroups v1 release_agent (CVE-2022-0492)

Contexto técnico: CVE-2022-0492 es una vulnerabilidad de autenticación impropia (CWE-287) y control de acceso incorrecto (CWE-862) presente en el subsistema cgroups v1 del kernel de Linux. El fallo reside en la función release_agent de cgroups v1, que permite definir un binario o script que se ejecuta automáticamente cuando el último proceso de un cgroup termina. La vulnerabilidad fue introducida porque el kernel no realizaba correctamente la comprobación de capacidades del namespace de usuario (user namespace capabilities) al permitir la escritura en el fichero release_agent.

Mecánica del exploit: Un atacante local sin privilegios puede crear un nuevo namespace de usuario y de cgroup dentro de él. Dentro de este namespace, el proceso malicioso aparenta tener capacidades elevadas (CAP_SYS_ADMIN dentro del namespace), lo que le permite escribir en /sys/fs/cgroup/.../release_agent. Al configurar un binario arbitrario como release_agent y provocar la liberación del cgroup, el kernel ejecuta dicho binario con privilegios del proceso init del host (contexto root del sistema anfitrión), logrando así la escalada de privilegios completa. En entornos de contenedores (Docker, Kubernetes, LXC) que no deshabiliten cgroups v1 ni user namespaces, este vector permite además el escape de contenedor, comprometiendo el nodo anfitrión.

Impacto potencial: Escalada de privilegios local (LPE) hasta root en el sistema anfitrión. En infraestructuras de contenedores sin mitigaciones aplicadas, el impacto asciende a compromiso total del nodo host. La explotación no requiere interacción del usuario y puede ser realizada por cualquier proceso con acceso a user namespaces. Afecta a distribuciones Linux con kernel anteriores al commit de corrección aplicado en febrero de 2022, incluyendo versiones ampliamente desplegadas de Ubuntu, Debian, RHEL/CentOS, SUSE y otras.

• Actualizar el kernel de Linux: Aplicar el parche oficial disponible en el commit del repositorio de Linus Torvalds: 24f6008564183aa120d07c03d9289519c2fe02af. Verificar con el proveedor de la distribución la versión de kernel parcheada correspondiente (p. ej., Ubuntu: linux ≥ 5.15.0-27, RHEL: consultar RHSA asociado).
• Aplicar actualizaciones del sistema operativo: Actualizar a la versión de kernel provista por la distribución en uso a través del gestor de paquetes oficial (apt upgrade, yum update, zypper update, etc.) lo antes posible.
• Deshabilitar user namespaces si no son necesarios: En sistemas donde no se requieran, establecer kernel.unprivileged_userns_clone=0 (Debian/Ubuntu) o user.max_user_namespaces=0 vía sysctl como medida de mitigación temporal.
• Deshabilitar o restringir cgroups v1 release_agent: En entornos de contenedores, asegurarse de que los contenedores se ejecuten sin capacidad de montar cgroups v1 o con perfiles de seccomp/AppArmor/SELinux que bloqueen las operaciones de escritura en release_agent.
• Entornos de contenedores: Revisar la configuración de Docker, Kubernetes y LXC para garantizar que los contenedores no se ejecuten en modo privilegiado (--privileged) y que se apliquen políticas de seguridad restrictivas (seccomp, AppArmor, SELinux). Actualizar el runtime de contenedores a versiones que mitiguen este vector.
• Seguir las directivas CISA BOD 22-01: Las agencias FCEB deben aplicar la corrección antes del 2026-06-05, fecha límite establecida en el catálogo KEV de CISA. Consultar las instrucciones específicas del fabricante para servicios en la nube.
• Monitorización: Implementar reglas de detección para escrituras anómalas en rutas /sys/fs/cgroup/*/release_agent y creación inusual de user namespaces desde procesos no privilegiados.