Americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) v posledních dnech vydala naléhavé varování ohledně aktivního zneužívání... zranitelnost CVE-2023-0386, detekovaná v linuxovém jádře. Tato zranitelnost, hodnocená jako vysoce závažná, byla identifikována jako chyba ve správě vlastnických oprávnění v rámci subsystému OverlayFS. Zneužití umožňuje lokálním uživatelům eskalovat oprávnění a získat administrátorský přístup, čímž ohrožuje jakýkoli postižený linuxový systém.
Chyba je obzvláště znepokojivá, protože Ovlivňuje širokou škálu prostředí, od serverů a virtuálních strojů až po cloud., do kontejnerů a dokonce i do nasazení Windows Subsystem for Linux (WSL). Tyto typy scénářů, kde je segmentace oprávnění mezi uživateli kritická, mohou být vážně ohroženy, pokud nebudou použity vhodné záplaty.
Jaká je chyba zabezpečení CVE-2023-0386?
Původ problému spočívá v tom, jak OverlayFS zpracovává operace kopírování souborů se speciálními možnostmi mezi různými body připojeníKonkrétně, pokud uživatel zkopíruje soubor se zvýšenými oprávněními z připojení nakonfigurovaného jako nosuid k jinému připojení jádro během operace správně neodstraní bity setuid a setgid. To otevírá dveře útočníkovi, který již má lokální přístup, ke spuštění souborů s oprávněními root a obchází tak obvyklá omezení.
Zranitelnost ovlivňuje verze jádra před verzí 6.2-rc6 které mají povolený OverlayFS a uživatelské jmenné prostory. Široce používané distribuce jako Debian, Ubuntu, Red Hat a Amazon Linux jsou na seznamu zranitelných systémů, pokud neobdržely odpovídající aktualizaci. Snadnost, s jakou lze chybu zneužít, byla navíc prokázána zveřejněním konceptů (PoC) na GitHubu od května 2023, což vedlo k dramatickému nárůstu pokusů o zneužití.
Rozsah a nebezpečí v kritických prostředích
Slabina CVE-2023-0386 byla v OverlayFS zařazena do kategorie slabin správy nemovitostí (CWE-282).a lze ji zneužít k obcházení hranic uživatelů v systémech s více klienty, podnicích nebo dokonce cloudových platformách. Ať už se jedná o fyzické nebo virtuální počítače, kontejnery nebo infrastruktury, které se spoléhají na sdílení souborů, představuje tato chyba značné riziko kvůli snadnosti, s jakou může zvýšit lokální oprávnění.
Podle několika analýz bezpečnostních firem, jako jsou Datadog a Qualys, vykořisťování je triviální Lokální přístup je dostatečný ke spuštění útoku a nevyžaduje žádnou další interakci. Díky tomu je ideálním vektorem pro interní útočníky, kompromitované procesy nebo situace, kdy je povoleno pracovat uživatelům bez administrátorských oprávnění. Ve skutečnosti byly pozorovány automatizované kampaně, které vyhledávají a zneužívají systémy, které dosud nebyly opraveny, zejména po vydání veřejně dostupných nástrojů a exploitů.
Reakce a aktualizace odvětví
Chyba byla nahlášena a opravena začátkem roku 2023 Miklosem Szeredim., klíčový vývojář linuxového jádra, prostřednictvím specializovaného commitu (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Tato záplata zpřísňuje kontrolu uživatelů a skupin během kopírovacích operací a brání tak kontinuitě, pokud je mapování UID nebo GID v aktuálním jmenném prostoru neplatné. To má zajistit konzistenci s ACL POSIX a zabránit scénářům, kdy by bylo přiřazeno výchozí UID/GID 65534, které by mohlo být zmanipulováno.
Výrobci jako NetApp byli mezi prvními, kteří zveřejnili upozornění s podrobnostmi o dotčených produktech., včetně několika modelů řadičů a produktů, které integrují předinstalované verze jádra. Potvrzují, že zneužití může vést k přístupu k datům, úpravě informací nebo dokonce k útokům typu denial of service (DoS). Red Hat a další dodavatelé také začali s aktualizacemi k řešení této zranitelnosti.
Doporučení a naléhavá opatření k ochraně před touto zranitelností
Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) přidala do svého katalogu zneužitých zranitelností chybu CVE-2023-0386 a vyžaduje, aby americké federální agentury provedly aktualizaci do 8. července 2025. Pro všechny ostatní organizace a uživatele je doporučení jasné:
- Pro opravu chyby aktualizujte jádro Linuxu na verzi 6.2-rc6 nebo vyšší.
- Monitorujte systémy, zda nedochází k anomálnímu chování oprávnění, zejména v prostředích s kontejnery, více uživateli nebo kritickou infrastrukturou.
- V prostředích, kde nelze opravu použít okamžitě, se doporučuje dočasně deaktivovat OverlayFS nebo co nejvíce omezit lokální přístup na uživatele bez administrátorských práv.
- Prostudujte si oficiální oznámení a katalogy (CISA KEV) a zranitelnost považujte za prioritu.
Přiřazený útočný vektor odpovídá CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, což odráží vysoký potenciální dopad na důvěrnost, integritu a dostupnost, pokud by bylo úspěšné využít.
Tato zranitelnost podtrhuje důležitost neustálé aktualizace a monitorování linuxových systémů, zejména v podnikových prostředích nebo v prostředích, kde se manipuluje s citlivými daty. Ačkoli zneužití vyžaduje lokální přístup, existence veřejných PoC a automatizovaných útoků zvyšuje naléhavost co nejrychlejší nápravy všech zranitelných instancí. Zvýšení oprávnění na root může za těchto okolností vést ke ztrátě úplné kontroly nad infrastrukturou.
