漏洞缓解

cgroups-lxcfs-escape-mitigation

缓解 cgroups & lxcfs 逃逸。

Description

若用户将宿主机的 cgroupfs 挂载进容器，或使用 lxcfs 为容器提供资源视图。在这两种场景下可能存在容器逃逸风险，攻击者可以在容器内改写 cgroupfs 实施容器逃逸。

此规则也可用于防御 CVE-2022-0492 漏洞利用。

Principle & Impact

AppArmor Enforcer 阻止在容器内修改：

• /**/release_agent
• /**/devices/device.allow
• /**/devices/**/device.allow
• /**/devices/cgroup.procs
• /**/devices/**/cgroup.procs
• /**/devices/task
• /**/devices/**/task

BPF Enforcer 阻止在容器内修改：

• /**/release_agent
• /**/devices.allow
• /**/cgroup.procs
• /**/devices/tasks

Supported Enforcer

• AppArmor
• BPF

runc-override-mitigation

缓解通过改写 runc 实现的容器逃逸。

Description

此规则用于缓解通过改写宿主机 runc 从而实现容器逃逸的漏洞，例如 CVE-2019-5736。

Principle & Impact

禁止改写 /**/runc 文件。

Supported Enforcer

• AppArmor
• BPF

dirty-pipe-mitigation

缓解利用 Dirty Pipe 漏洞实现的容器逃逸。

Description

此规则用于防御利用 CVE-2022-0847 (Dirty Pipe) 漏洞进行容器逃逸的攻击，您可以使用此规则在升级内核前对容器进行加固。

注：尽管禁用 splice 系统调用可能会对一些软件包产生问题，但对大多数合法应用来说都不会产生影响，因为这个系统调用的使用相对罕见。

Principle & Impact

禁止调用 splice 系统调用。

Supported Enforcer

• Seccomp

ingress-nightmare-mitigation

缓解 IngressNightmare 漏洞利用。

Description

此规则用于缓解 Ingress-nginx 的 IngressNightmare (CVE-2025-1974) 漏洞。

Ingress-nginx 是 Kubernetes 的 Ingress 控制器，它使用 nginx 作为反向代理和负载均衡服务器。拥有 Pod 网络访问权限的攻击者，可利用此漏洞在 ingress-nginx controller 容器内执行任意代码，进而获取集群的所有 Secrets 并接管整个集群。您可以在升级 Ingress-nginx 到安全版本前，使用此规则进行缓解。

可参考下面的链接了解更多。

• IngressNightmare: CVE-2025-1974 - 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX
• CVE-2025-1974: ingress-nginx admission controller RCE escalation

Principle & Impact

此规则禁止容器进程访问 ingress-nginx 和 kube-system 命名空间中的 ingress-nginx-controller-admission 服务及其端点。

如果您将 ingress-nginx 部署在其他命名空间，那么可以根据 vArmor 的 Service 接口自定义规则进行防御。

Supported Enforcer

• BPF