В полку Lin­ux уязвимостей позволяющих поднять привилегии до root‑а прибыло. Встречаем Dirty­Cred (CVE-2021–4154 - февральская, есть PoC; CVE-2022–2588 — свежая, пока нет PoC‑а). 8 лет уязвимость никто не замечал. Или замечали и использовали, но помалкивали. Естественно NVD как обычно тормозит и там нового идентификатора пока нет, но он во всю используется в бюллетенях безопасности.

Судя по описанию это уязвимость ядра, похожая на мартовскую Dirty Pipe (CVE-2022–0847), только круче, т.к. работает стабильнее:

"The nov­el exploita­tion method, accord­ing to the researchers, push­es the dirty pipe to the next lev­el, mak­ing it more gen­er­al as well as potent in a man­ner that could work on any ver­sion of the affect­ed ker­nel."

И контейнеризация не спасает:

"Sec­ond, while it is like the dirty pipe that could bypass all the ker­nel pro­tec­tions, our exploita­tion method could even demon­strate the abil­i­ty to escape the con­tain­er active­ly that Dirty Pipe is not capa­ble of."

Ну и так-то уязвимости позволяющие получить в Lin­ux root‑а появляются достаточно регулярно. Из громких можно ещё вспомнить Dirty Cow (CVE-2016–5195 — обалдеть 😱, 6 лет назад, помню как вчера как тестил) и Qualys-овские PwnKit (CVE-2021–4034) и Sequoia (CVE-2021–33909).

А что делать? Имхо, патчить. Лучше в рамках регулярного процесса, а не в пожарном режиме. Но если регулярного патчинга Lin­ux-ов нет, то лучше разово обновиться, махая этой уязвимостью (или даже более старыми с публичными эксплоитами) как флагом. После разового упражнения будет видно какие есть проблемы с внедрением регулярного процесса, а где-то возможно получится его внедрить с наскока.

Ну или можно не патчить, обосновывая тем, что оно (вроде) не эксплуатабельно, а где эксплуатабельно, то там не критично или туда не доберутся. И из контейнера не выберутся. И вообще можно внедрить EDR на линуксах. И ещё можно попробовать мандатку настроить.

Но, имхо, оценка эксплуатабельности, харденинг и внедрение СЗИ для Lin­ux-ов это конечно все замечательно, но основное это патчинг и прежде всего нужно разобраться именно с ним.