Останніми днями Агентство з кібербезпеки та безпеки інфраструктури США (CISA) опублікувало термінове попередження щодо активної експлуатації... уразливість CVE-2023-0386, виявлена в ядрі Linux. Цю вразливість, оцінену як високосерйозну, було визначено як недолік в управлінні правами власності в підсистемі OverlayFS. Експлуатація дозволяє локальним користувачам підвищувати привілеї та отримувати доступ адміністратора, що наражає на небезпеку будь-яку уражену систему Linux.
Ця помилка особливо тривожна, оскільки Це впливає на широкий спектр середовищ, від серверів і віртуальних машин до хмари., до контейнерів і навіть розгортань підсистеми Windows для Linux (WSL). Такі сценарії, де сегментація привілеїв між користувачами є критично важливою, можуть бути серйозно скомпрометовані, якщо не застосовувати відповідні виправлення.
Що таке вразливість CVE-2023-0386?
Походження проблеми полягає в тому, як OverlayFS обробляє операції копіювання файлів зі спеціальними можливостями між різними точками монтуванняЗокрема, якщо користувач копіює файл із підвищеними правами доступу з монтування, налаштованого як носуїд до іншого монтування, ядро не видаляє належним чином біти setuid та setgid під час операції. Це відкриває шлях для зловмисника, який вже має локальний доступ, для виконання файлів з правами root, обходячи звичайні обмеження.
Вразливість впливає на версії ядра до 6.2-rc6 у яких увімкнено OverlayFS та простори імен користувачів. Широко використовувані дистрибутиви, такі як Debian, Ubuntu, Red Hat та Amazon Linux, знаходяться у списку вразливих систем, якщо вони не отримали відповідного оновлення. Крім того, легкість, з якою можна експлуатувати цю вразливість, була продемонстрована публікацією концептуальних довідок (PoC) на GitHub з травня 2023 року, що призвело до різкого збільшення спроб експлуатації.
Сфера застосування та небезпеки в критичних середовищах
CVE-2023-0386 було класифіковано як слабкість управління майном (CWE-282) в OverlayFS., і може бути використана для обходу меж користувачів у багатокористувацьких системах, підприємствах або навіть хмарних платформах. Незалежно від того, чи це фізичні чи віртуальні машини, контейнери чи інфраструктури, що залежать від спільного використання файлів, ця вразливість становить значний ризик через легкість, з якою вона може підвищити локальні привілеї.
Згідно з кількома аналізами, проведеними охоронними фірмами, такими як Datadog та Qualys, експлуатація є тривіальною Локального доступу достатньо для запуску атаки, що не вимагає додаткової взаємодії. Це робить його ідеальним вектором для внутрішніх зловмисників, скомпрометованих процесів або ситуацій, коли користувачам без адміністративних прав дозволено працювати. Фактично, спостерігалися автоматизовані кампанії, які шукають та використовують системи, які ще не були виправлені, особливо після випуску публічних інструментів та експлойтів.
Відповідь галузі та оновлення
Про помилку повідомив та виправив її на початку 2023 року Міклош Шереді., ключовий розробник ядра Linux, через спеціальний коміт (ID: 4f11ada10d0ad3fd53e2bd67806351de63a4f9c3). Патч посилює перевірку користувачів та груп під час операцій копіювання, запобігаючи безперервності, якщо зіставлення UID або GID є недійсним у поточному просторі імен. Це має на меті забезпечити узгодженість зі списками контролю доступу POSIX та запобігти сценаріям, коли було призначено UID/GID за замовчуванням 65534, який можна було б змінити.
Такі виробники, як NetApp, були одними з перших, хто опублікував рекомендації з детальним описом продуктів, що постраждали., включаючи кілька моделей контролерів та продуктів, які інтегрують попередньо встановлені версії ядра. Вони підтверджують, що експлуатація може призвести до доступу до даних, модифікації інформації або навіть до атак типу «відмова в обслуговуванні» (DoS). Red Hat та інші постачальники також почали оновлювати щоб усунути цю вразливість.
Рекомендації та термінові заходи для захисту від цієї вразливості
Агентство США з кібербезпеки та безпеки інфраструктури (CISA) додало CVE-2023-0386 до свого каталогу вразливостей, що використовуються, та вимагає від федеральних агентств США оновити його до 8 липня 2025 року. Для всіх інших організацій та користувачів рекомендація чітка:
- Оновіть ядро Linux до версії 6.2-rc6 або вище, щоб виправити помилку.
- Моніторинг систем на наявність аномальної поведінки привілеїв, особливо в середовищах з контейнерами, кількома користувачами або критично важливою інфраструктурою.
- У середовищах, де патч неможливо застосувати негайно, рекомендується тимчасово вимкнути OverlayFS або максимально обмежити локальний доступ для користувачів без прав адміністратора.
- Зверніться до офіційних повідомлень та каталогів (CISA KEV) та розгляньте цю вразливість як пріоритет.
Призначений вектор атаки відповідає CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, що відображає високий потенційний вплив на конфіденційність, цілісність та доступність у разі успішного використання.
Ця вразливість підкреслює важливість постійного оновлення та моніторингу систем Linux, особливо в корпоративних середовищах або тих, що обробляють конфіденційні дані. Хоча для експлуатації потрібен локальний доступ, існування публічних PoC (доказів поєднання) та автоматизованих атак підвищує терміновість якомога швидшого усунення будь-яких вразливих випадків. За таких обставин підвищення привілеїв до root-прав може призвести до втрати повного контролю над інфраструктурою.