Menghindari isu Copy Fail di Kubernetes dengan eBPF

Saat mengoperasikan K8s, saya menerima permintaan respons darurat terkait isu ini, jadi saya membuat sesuatu yang sederhana.

Muncul kerentanan bernama Copy Fail, di mana hanya dengan membuka socket yang menggunakan AF_ALG, seseorang bisa mengambil alih hak root host dari dalam Pod K8s.

https://id.news.hada.io/topic?id=29031

Patch kernel memang sudah dirilis, tetapi di kebanyakan lingkungan operasional sulit untuk menerapkannya dengan cepat. Selain itu, pada kernel yang lebih baru, fitur terkait diaktifkan sebagai kernel built-in sehingga modul kernel-nya juga tidak bisa dinonaktifkan.

Untuk mempermudah penanganan isu ini, ini adalah program sederhana yang saat mendeteksi function call terkait di eBPF akan

1. (jika didukung kernel) membuat function call tersebut gagal
2. (jika tidak didukung) langsung membunuh proses tersebut

Program ini dibuat agar bisa digunakan hanya dengan satu deployment K8s DaemonSet, jadi kalau ada yang membutuhkan silakan dipakai~