Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) v posledných dňoch vydala naliehavé varovanie týkajúce sa aktívneho zneužívania... zraniteľnosť CVE-2023 0386,, zistená v jadre systému Linux. Táto zraniteľnosť, hodnotená ako vysoko závažná, bola identifikovaná ako chyba v správe vlastníckych oprávnení v rámci subsystému OverlayFS. Zneužitie umožňuje lokálnym používateľom eskalovať privilégiá a získať administrátorský prístup, čím ohrozuje akýkoľvek postihnutý systém Linux.
Táto chyba je obzvlášť znepokojujúca, pretože Ovplyvňuje širokú škálu prostredí, od serverov a virtuálnych počítačov až po cloud., do kontajnerov a dokonca aj do nasadení Windows Subsystem for Linux (WSL). Tieto typy scenárov, kde je segmentácia privilégií medzi používateľmi kritická, môžu byť vážne ohrozené, ak sa neaplikujú vhodné záplaty.
Čo je zraniteľnosť CVE-2023-0386?
Pôvod problému spočíva v tom, ako OverlayFS spracováva operácie kopírovania súborov so špeciálnymi funkciami medzi rôznymi bodmi pripojeniaKonkrétne, ak používateľ skopíruje súbor so zvýšenými oprávneniami z pripojenia nakonfigurovaného ako nosuid k inému pripojeniu, jadro počas operácie správne neodstráni bity setuid a setgid. To otvára dvere útočníkovi, ktorý už má lokálny prístup, na spúšťanie súborov s oprávneniami root, čím obchádza bežné obmedzenia.
Zraniteľnosť ovplyvňuje verzie jadra staršie ako 6.2-rc6 ktoré majú povolený OverlayFS a používateľské menné priestory. Široko používané distribúcie ako Debian, Ubuntu, Red Hat a Amazon Linux sú na zozname zraniteľných systémov, ak nedostali zodpovedajúcu aktualizáciu. Okrem toho, ľahkosť, s akou sa dá chyba zneužiť, bola preukázaná publikovaním konceptov (PoC) na GitHub od mája 2023, čo viedlo k dramatickému nárastu pokusov o zneužitie.
Rozsah a nebezpečenstvá v kritických prostrediach
CVE-2023-0386 bol v OverlayFS zaradený do kategórie slabín v správe nehnuteľností (CWE-282).a možno ju zneužiť na obídenie hraníc používateľov vo viacnájomníckych systémoch, podnikoch alebo dokonca cloudových platformách. Či už ide o fyzické alebo virtuálne počítače, kontajnery alebo infraštruktúry, ktoré sa spoliehajú na zdieľanie súborov, táto chyba predstavuje značné riziko kvôli ľahkosti, s akou môže zvýšiť lokálne privilégiá.
Podľa niekoľkých analýz bezpečnostných firiem, ako sú Datadog a Qualys, zneužívanie je triviálne Na spustenie útoku postačuje lokálny prístup, ktorý nevyžaduje žiadnu ďalšiu interakciu. Vďaka tomu je ideálnym vektorom pre interných útočníkov, kompromitované procesy alebo situácie, v ktorých môžu pracovať používatelia bez administrátorských oprávnení. V skutočnosti boli pozorované automatizované kampane, ktoré vyhľadávajú a zneužívajú systémy, ktoré ešte neboli opravené, najmä po vydaní verejne dostupných nástrojov a exploitov.
Reakcia a aktualizácie odvetvia
Chybu nahlásil a opravil začiatkom roka 2023 Miklos Szeredi., kľúčový vývojár linuxového jadra, prostredníctvom vyhradeného commitu (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Táto záplata sprísňuje kontrolu používateľov a skupín počas operácií kopírovania, čím zabraňuje kontinuite, ak je mapovanie UID alebo GID v aktuálnom mennom priestore neplatné. Cieľom je zabezpečiť konzistenciu s ACL POSIX a zabrániť scenárom, v ktorých by bolo priradené predvolené UID/GID 65534, ktoré by sa dalo manipulovať.
Výrobcovia ako NetApp boli medzi prvými, ktorí zverejnili upozornenia s podrobnosťami o dotknutých produktoch., vrátane niekoľkých modelov ovládačov a produktov, ktoré integrujú predzáplatované verzie jadra. Potvrdzujú, že zneužitie môže viesť k prístupu k údajom, úprave informácií alebo dokonca k útokom typu odmietnutie služby (DoS). Red Hat a ďalší dodávatelia tiež začali s aktualizáciami na riešenie tejto zraniteľnosti.
Odporúčania a naliehavé opatrenia na ochranu pred touto zraniteľnosťou
Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) pridala do svojho katalógu zneužitých zraniteľností chybu CVE-2023-0386 a vyžaduje, aby federálne agentúry USA vykonali aktualizáciu do 8. júla 2025. Pre všetky ostatné organizácie a používateľov je odporúčanie jasné:
- Pre opravu chyby aktualizujte na jadro Linuxu verzie 6.2-rc6 alebo novšej.
- Monitorujte systémy, či nevykazujú anomálne správanie privilégií, najmä v prostrediach s kontajnermi, viacerými používateľmi alebo kritickou infraštruktúrou.
- V prostrediach, kde nie je možné záplatu použiť okamžite, sa odporúča dočasne vypnúť OverlayFS alebo čo najviac obmedziť lokálny prístup pre používateľov bez administrátorských oprávnení.
- Preštudujte si oficiálne oznámenia a katalógy (CISA KEV) a zraniteľnosť považujte za prioritu.
Priradený útočný vektor zodpovedá CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, čo odráža vysoký potenciálny vplyv na dôvernosť, integritu a dostupnosť, ak sa úspešne využije.
Táto zraniteľnosť podčiarkuje dôležitosť neustálej aktualizácie a monitorovania systémov Linux, najmä v podnikových prostrediach alebo v prostrediach, kde sa spracovávajú citlivé údaje. Hoci zneužitie vyžaduje lokálny prístup, existencia verejných PoC a automatizovaných útokov zvyšuje naliehavosť čo najrýchlejšej nápravy akýchkoľvek zraniteľných prípadov. Zvýšenie privilégií na root môže za týchto okolností viesť k strate úplnej kontroly nad infraštruktúrou.
